这个“木马”有点坏！(关键词:smss.exe,AutoRun.inf,command.com)

前言：最近宰的这木马，确实比较麻烦，以往我大多手工都很快干掉，就这次有点难 ，不过总算干掉了，我觉的还是手工清除比较干净，杀毒软件只能杀些小喽罗 ，只好自己手工干了，去网上查了有关这个木马的很多文章，没一篇是真正可行的，提出的解决方案都不完整，都没实际解决掉。大多中马者，其实最终都没搞懂问题的所在，最后只能重装，所以我写了这次的体会，希望能帮助，有同样问题，而无法解决的朋友。最后还请龙族的朋友，提出意见！！

近日,好友说自己的电脑（XP SP1系统）被木马病毒整得好累,用咔吧、KV、EWIDO等都没有查出来，只杀掉了一些小喽罗，实在是无法查杀了,准备要重装系统,在重装前让我务必去看一下,还有没有恢复的可能。

我去后了解了有以下几个情况:病毒比较狠毒会强行终止多种杀毒软件的进程，使其不能正常运行，这个病毒而且很狡猾通过Autorun.inf运行病毒程序，从而使病毒交叉感染，修改注册表为病毒添加自启动项目，由于病毒的Autorun.inf文件不具备病毒特征，因此不会被杀毒软件清除。病毒的自我保护能力很顽强。

(我现在把整个情况完整的叙述一遍,关键词:smss.exe,AutoRun.inf,command.com)

病毒是这样开始发作的:

开机~~~~~~~~

一.图标,和任务栏都没有只剩下个桌面背景,鼠标还能用，但你无论左键点，还是右键点都没有什么响应。
此问题要先解决：否者就没下一步情况了，呵呵！，

这里首先要讲一下桌面的概念，也许你已经习惯于把桌面等同与你的显示器平面了，其实严格的讲，桌面是一个特殊的explore程序，是操作系统给用户的一个shell。以上第一点的情况我们自己平时也可以做到，不过今天可是病毒做的，那平时怎么做呢？---我们先打开任务管理器，你可以在任务栏上点右键，或者直接按 CTRL＋ALT＋DEL，然后选择“进程”选项卡。找到explore.exe，然后结束这个进程，系统会给一个警告，告诉你说会有丢失数据的危险，不用管他，然后你会发现你的桌面丢了，你的任务栏没了，你的桌面图标也没了，只剩下你的桌面图片了（实际上桌面图片也没了，但是桌面图片已在你的内存中了，所以你还能看到它），你的鼠标还能用，但你无论左键点，还是右键点都没有什么响应了，ok，good，你的桌面没了。

这时怎么操作呢？－－用任务管理器，其实你运行的所有程序只不过是一个一个的任务，当然你也可以在任务管理器里实现所有任务的管理，windows提供给我们桌面是为了操作方便。

解决方法：(2种方法)

1.同时按下Ctrl＋Alt＋Del 键，在打开的windows任务管理器中，选择“文件”菜单，选择“新建任务（运行）”项，然后在打开的窗口中输入 explorer ,回车之后就又出现了windows的桌面了。

2. 同时按下键盘上的Ctrl、Alt与Del键，打开Windows任务管理器，依次选择“文件新建任务（运行…）”，在弹出的“创建新任务”对话框中选择“浏览”，在打开的“浏览”窗口中用鼠标右键任意点选一个文件夹，在弹出菜单中选择“资源管理器”，这时系统会弹出错误提示窗口，同时你会发现任务栏与桌面图标都奇迹般的恢复正常了。

好！我们继续————-

二.现在任务栏与桌面图标都恢复正常了，但是发现了D盘双击无法打开了,要点右键才能打开,另点右键可以看到"自动播放"，D盘下有个 command.com[隐藏文件]（D盘根目录下有一个Autorun.inf的文件,里面加载了Command.com这个程序）
三.病毒在D驱动器下面写入了一个AutoRun.inf文件,打开内容如下:（我们在双击D盘的时候，病毒自动运行的信息已经加入了注册表里）

[autorun]
OPEN=D:\command.com

解决方法：以上2点情况现在暂时无法清楚干净（AutoRun.inf和command.com现在删除后，刷新下就马上又有了，查找HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\后面是正常的,没有发现Shell\command\此键值。）,等下再告诉你清除方法。

不过我们现在先要把硬盘遭到的“埋伏”给去掉，可以先禁止硬盘AutoRun功能。

(2种方法)------>

1.在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下，在右侧窗口中找到

“NoDriveTypeAutoRun”，就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能，如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机，设置就会生效。

2.使用组策略一次性全部关闭自动播放功能：
① 点击“开始”选择“运行”，键入“gpedit.msc”，并运行，打开“组策略”窗口；
② 在左栏的“本地计算机策略”下，打开“计算机配置_管理模板_系统”，然后在右栏的“设置”标题下，双击“关闭自动播放”；
③ 选择“设置”选项卡，勾取“已启用”复选钮，然后在“关闭自动播放”框中选择“所有驱动器”，单击“确定”按钮，退出“组策略”窗口。

在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。

好！现在双击可以打开D盘，右键没有看到"自动播放"了，不过AutoRun.inf和command.com现在还删除不掉（删除后，刷新下就马上又有了）还是等下再告诉你清除方法。

四.在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",我点确定后,还是无法看见隐藏的文件和文件夹，电脑总是保持不显示隐藏文件和文件夹的状态，就是说，文件夹选项都不让修改。而且在注册表里把
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" =1。我把CheckedValue" = 的数值改为1(CheckedValue键值项当时已被病毒改为0),不过也没用。

怎么办呢？？

解决方法：(2种方法)

1.把下面的信息（我增加了几条，务求完全修复）保存为*REG文件（2000/XP），然后导入
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="隐藏文件和文件夹"
"Type"="group"
"Bitmap"="C:\\WINNT\\system32\\shell32.dll,4"
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="不显示隐藏的文件和文件夹"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="显示所有文件和文件夹"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
"Type"="checkbox"
"Text"="隐藏已知文件类型的扩展名"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="HideFileExt"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001
"HelpID"="shell.hlp#51101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="隐藏受保护的操作系统文件(推荐)"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\Do

ntShowSuperHidden]
@=""

2.去别的没感染病毒的电脑上把此段注册表的数据导出来，再导入到这台电脑。

好，现在可以显示所有文件及文件夹了！

五.现在进程里有2个SMSS.exe,(有一个在windows下是病毒)
解决方法:现在暂时无法清楚干净（C:\windows\SMSS.exe现在用工具杀掉，这里刷新下就马上又有了,而且直接在安全模式下就会注入进程）,还是等下再告诉你清除方法。

六.在注册表里发现以下---> 不正常的地方(还有别的地方不对,我先不一一去找了):
RUN下面：TProgram C:\WINDOWS\smss.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1

七.运行MSCONFIG，在启动里去掉C:\WINDOWS\smss.exe前面的√，不过刷新下就马上又√起来了，晕~~~~~~~
解决方法:现在以上6.7点情况暂时无法清除干净，（删掉，这里刷新下就马上又有了，我把"Shell"="Explorer.exe 1改为"Shell"="Explorer.exe，马上又被改回去 ），病毒的自我保护能力很顽强，安全模式下删除这些文件，异常的注册表项，用HijackThis 扫描了后，修复了异常，可是重启后病症都又回来了。怎么办呢？？

还是等下再告诉你清除方法。呵呵~~~

八.不过，我们现在得先做以下重要的2步（防止在干掉对方前，先给对方干掉了，嘿嘿！）

1.运行 输入cmd 输入netstat -an 查看下自己的端口是不是正常的，如发现有不正常的情况，先把不正常的端口给关闭了，防患于未燃，先关闭危险的端口。

2.删除XP网络共享（运行cmd-->net share 看看）

（有关以上2点的文章，论坛里有很多，偶也传了几贴，可以去参考下）
九.接着来~~~~

耐心点看下去~~~
想了几天~~~~ 去摆渡，GOOGLE找了多天，那些有点相似的问题，提供的方法都没用，这个时候那些病毒木马的杀手啊、大师啊、杀客啊、专家啊、克星啊、清道夫啊等等，都没用了，帮不了我们，现在只有用我们自己的菜刀（手工）来砍啦~~~~~

怎么办呢？？

难道真的没办法了，我都想累了。。。。。。

为什么，删除后重启都还在呢？？

分析原因：

这个病毒首先是具有很强的复制能力，由于病毒会自动检测进程，如果发现被关闭，就会继续产生病毒进程。 而且会插入线程到EXPLORER.EXE或者TASKMGR.EXE中， 几乎没有办法手动完全关闭病毒进程。而且这个病毒很顽强，它释放了很多病毒文件，还修改了很多注册表信息，而我肯定不止这一个病毒，肯定还有好多个，我还不知道它们躲在哪里？它们
在互相配合和我较量。

好多个？？？？？那到底还有几个呢？？？？？哇噻！我怎么没想到呀，我们还有把照妖镜呢————用搜索！
现在我查了下smss.exe,AutoRun.inf,command.com，这3个文件的生成日期都是2006.02.20。

好！就去查找创建日期是2006.02.20的所有文件，都找出来了，首先给它们排个队，拍张集体照(漏了一个，补上AutoRun.inf）。哈哈！


现在是我们干掉它们的时候啦，不过，在干掉它们之前先给他们打个包（用压缩备份，做成样品以后再慢慢研究吧，我估计用强大的UltraEdit 肯定会发现反病毒信息和病毒自我保护的信息，呵呵，我把样品放在网络硬盘上.
这是下载地址,有兴趣的朋友可以下载来看看，不过激活了可别怪我啊，哈哈！）

现在是用到3把“利刃”的时候了：Windows进程管理器v3.70（还有把Icesword v1.12 v3.70 冰刃太厉害，我只用来查了下进程，没发现有隐藏的进程） killbox SREng 。

　　现在进入安全模式，用Windows进程管理器把smss.exe给关掉，接着用killbox把smss.exe杀掉，其余的＂集体照里的成员＂你看看能直接删除就删除，不能的就用killbox杀！！好了都杀掉了。

　哦，对了还有一点我当时发现EXE文件关联被破坏了，运行--CMD--ASSOC .EXE，发现.EXE=WindowFiles，所以当时无法运行“3把利刃”，我把它们的后缀EXE暂时改为COM，才运行以来，如果COM文件关联也被破坏，那我们就只好先做这一步，先把文件关联给修复好。

解决方法：(2种方法)

1.注册表编辑器打开后，找到以下分支：
HKEY_CLASSES_ROOT\exefile\shell\open\command
双击右侧窗口中的 (默认) 值，设置为 "%1" %* [包含引号]

再找到:
HKEY_CLASSES_ROOT\.exe
双击右侧窗口中的 (默认) 值，设置为 exefile
(这个修改也非常重要,很多网站上只介绍command键值的修改,其实是不完整也不一定能成功的!)
然后退出注册表编辑器

2.使用安全模式下的命令行工具来还原.EXE文件的关联（在安全模式下修复率要高点，不在安全模式下修复也可以）
开始->运行->输入"cmd"，回车 打开命令提示符窗口
在命令行中，依次执行以下命令：
ftype exefile="%1" %* [包含引号]
assoc .exe=exefile (assoc与.exe之间有一空格!)
exit

修复完成，很简单吧？
（如还不行，那是病毒进程又恢复了，可能我们还没把那张＂集体照里的成员＂给全部同时干掉，病毒又把关联给改了，我们可以先用SREng，把SREng主程序的后缀EXE暂时改为COM，就可以运行修复文件关联）

好，接下来我们要手工修复注册表，主要是修复被病毒木马改掉的键值，和自启动项目，删除危险的项。（有关手工修复注册表的详细情况，我就不一一赘诉了，论坛里有好多有关的文章，偶也传了几贴，你可以去看看，真的不行就找个注册表修复之类的软件，有很多）

最后用SREng 再修复一下，生成日志，看后保存起来。在去看看进程~~~C:\WINDOWS\smss.exe是不是真的没啦！！！

在这里总结下本次杀毒的体会:
如果发现了电脑有异常情况,用杀毒软件查杀后,

1.是去进程里看下有无异常的程序在运行,
2.去运行msconfig,看看有无异常的启动
3.去查查[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\RUN有无异常的启动
4.如果还有问题可以去查查,木马还喜欢呆的地方(论坛里有此类文章)
5.可以用搜索,把木马病毒生成日期的同一天的文件给搜索出来,分析一下哪些是,把木马病毒的文件都删掉
6.最后修复文件关联和注册表修复

十.推荐防范方法：
安装系统的必要补丁（SP2），尤其是最新的几个补丁
安装网络防火墙
不要随便点陌生人发来的网页链接、软件、图片等
下载的文件都要用杀毒软件先查一下。


注：如果有朋友杀病毒木马后开机提示缺少某些系统文件或.DLL丢失。
解决办法：

根据提示，记录相应的文件，
运行REGEDIT，进入注册表修改，
查找相应的文件，删除对应的注册表项目，即可！！