系统进程里出现两个SMSS.EXE - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛系统进程里出现两个SMSS.EXE

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

系统进程里出现两个SMSS.EXE

一路狂舞初生襁褓狮帖子:57 注册: 2006-07-04 来自:	发表于： 2006-07-05 00:28 \| 只看楼主短消息资料字号：小中大 1楼系统进程里出现两个SMSS.EXE 很明显其中一个占用内存10M左右，肯定是病毒了只是我不知道怎么杀掉，在网上看到有人说过这个病毒是魔兽世界盗号的一种木马。目前发现改了注册表里的一个选项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 而且在系统盘里的windows目录下多出来一个smss.exe文件，删除不掉，而且进程结束不了目前发现有几个病毒文件 %Windows%\1.com %Windows%\ExERoute.exe %Windows%\smss.exe 还有在我的D盘发现了一个文档：autorun.inf和一个command.exe文件，这个.exe文件正是文档里要运行的东西，而且现在D盘双击是不能打开的，只有右键打开。我是按照在网上找的这个方法操作的可是解决不了问题这个病毒smss利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则" 然后点击浏览找到木马文件,也就是c:\windows\smss.exe,安全级别选择"不允许的", 这样smss.exe就不会再运行了,然后关掉任务管理器中的smss.exe进程,记住,要关那个用户不是SYSTEM的.正常的系统进程smss.exe位置在winxp\system32、占用内存200-400k左右,病毒的位置在winxp\下占用内存10m左右然后用SREng.exe把exe的关联修复，由于工具本身就是exe，修复前无法打开必须先更名为sreng.com. 然后删了病毒文件 %Windows%\1.com %Windows%\ExERoute.exe %Windows%\smss.exe 然后从电脑各个分区的各个角落挖分身,搜索文件,病毒是250K多一点,修改日期是今天，然后手工一个个看一个个删，这个不能偷懒也很费时间，不要误删正常系统文件，最大的区别是病毒的文件信息里的公司是sea,病毒有.exe.com.pif几种后缀伪装了很多系统程序的文件名。最后把注册表清理一下，删掉病毒的自启动，把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 改为 "Shell"="Explorer.exe" 不知道有没有人能有好办法杀掉这个病毒那 2006-07-05 12:09:51
一路狂舞初生襁褓狮帖子:57 注册: 2006-07-04 来自:	分享到：

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-07-05 00:30 \| 短消息资料字号：小中大 2楼又中了…… 参考http://forum.ikaka.com/topic.asp?board=28&artid=8046765
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

一路狂舞初生襁褓狮帖子:57 注册: 2006-07-04 来自:	发表于： 2006-07-05 01:27 \| 只看楼主短消息资料字号：小中大 3楼谢谢1楼的恢复，你发的帖子我看了，我在这个论坛搜索到了另外一个帖子解决了这个问题，看了你的帖子以后，我又删除了一些文件，双管齐下我想应该干净了。可是现在我的电脑一启动总是出现一些提示，说什么K打头的一个.log文件缺失，还是总是提示那个木马文件1.com没有说，每次启动系统总是嗡嗡两声报警，不知道这个有没有解决办法？
一路狂舞初生襁褓狮帖子:57 注册: 2006-07-04 来自:

一路狂舞初生襁褓狮帖子:57 注册: 2006-07-04 来自:	发表于： 2006-07-05 01:29 \| 只看楼主短消息资料字号：小中大 4楼我把我用的方法复制如下文件： %Windows%\1.com %Windows%\ExERoute.exe（EXE关联） %Windows%\explorer.com %Windows%\finder.com %Windows%\SMSS.EXE %Windows%\BOOT.BIN.BAK %Windows%\Debug\DebugProgram.exe %Windows%\Debug\PASSWD.LOG %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif D:\autorun.inf D:\pagefile.pif 创建的启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 修改了EXE关联到： [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles] 干掉对手： TROJDIE* RAVMON.EXE KPOP* ASSISTSE KPFW* AGENTSVR* KREG* IEFIND* IPARMOR* SVI.EXE UPHC* RULEWIZE* FYGT* RFWSRV* RFWMA* 清除方法之一…… 1. 运行Procexp.exe和SREng.exe 2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标 3. 用SREng恢复EXE文件关联 1,2,3步要注意顺序，不要颠倒。 4. 可以删除文件和启动项了…… 删除的启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 修改为： "Shell"="Explorer.exe" 删除的文件就是一开始说的那些，别删错就行。 5. 最后打开注册表编辑器，恢复被修改的信息：查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。这些主要是在以下几个位置： HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 征途旗帜图标木马——SMSS.EXE另一解决方法对于那个木马文件smss.exe,路径为c:\windows\,正常应该是c:\windows\system32,直接删除根本就没用,因为任务管理器里一直会有它的进程,用ntsd命令关掉后马上又出来了,后来得到龙卷风一位兄弟的方法搞定了, 具体步骤是:运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则" [attachment=302384] 然后点击浏览找到木马文件,也就是c:\windows\smss.exe,安全级别选择"不允许的", [attachment=302385] 这样smss.exe就不会再运行了,然后用ntsd命令关掉任务管理器中的smss.exe进程,记住,要关那个用户不是SYSTEM的. 这样就解决了smss.exe,这个也是很主要的,接下来删除下面这些文件: C:\MSCONFIG.SYS %Windows%\1.com %Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif %Program Files%\sfx software\svchost.exe 然后到注册表中将下面的键值删除: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"="%Windows%\smss.exe" 并修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]下 "shell"="Explorer.exe 1" 为 "shell"="Explorer.exe" 接下来需要修复EXE文件关联,可以用注册表文件搞定,网上很容易搜索,找不到的可以PM找我要. 然后恢复病毒修改的注册表信息： (1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe” (2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe” (3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe” (4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe” 到这里基本上就搞定了. 对于那个进程中自动出现的IEXPLORE.EXE,似乎和这个不是一个木马,而是另外一个,用卡巴监控能发现,但木马杀客找不到,会在c:\program files下自动生成1.exe,3.exe,4.exe类似的文件,都隐藏为系统文件了,在c:\program files\internet explorer目录下会有一个隐藏的系统文件叫IEXPLORE.SYS,依然用上面提到的组策略把这个文件禁用,然后删除1.exe,3.exe,4.exe. 最后,在C盘根目录中找到病毒生成的目录,一般都是隐藏的文件夹,删除即可,至于如何判断是否系统文件,就不用我啰嗦了吧. 至此,基本就算搞定了,然后将系统中的临时文件,包括IE临时文件全部删除,将杀软升级到最新病毒库全盘扫描,用木马专杀工具扫描木马.
一路狂舞初生襁褓狮帖子:57 注册: 2006-07-04 来自:

一路狂舞初生襁褓狮帖子:57 注册: 2006-07-04 来自:	发表于： 2006-07-05 01:30 \| 只看楼主短消息资料字号：小中大 5楼另外两篇文章中都提到的木马文件 %System%\finder.com 我的系统这个目录里没有这个不知道是不是隐藏到别的地方去了
一路狂舞初生襁褓狮帖子:57 注册: 2006-07-04 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-07-05 01:31 \| 短消息资料字号：小中大 6楼另外一个帖子的地址？
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-07-05 01:32 \| 短消息资料字号：小中大 7楼还有，那个.log文件的全名？
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

一路狂舞初生襁褓狮帖子:57 注册: 2006-07-04 来自:	发表于： 2006-07-05 02:01 \| 只看楼主短消息资料字号：小中大 8楼还有就是里面列举的修改注册表，我的注册表有一些和里面列出来的键值是不一样的，有一些键值没有里面那种情况而有几个根本就找不到，这样没关系吗？
一路狂舞初生襁褓狮帖子:57 注册: 2006-07-04 来自:

一路狂舞初生襁褓狮帖子:57 注册: 2006-07-04 来自:	发表于： 2006-07-05 02:09 \| 只看楼主短消息资料字号：小中大 9楼帖子地址如下： http://forum.ikaka.com/topic.asp?board=28&artid=8096106 我一开始用的方法是这个帖子一楼回复的那种方法。看了你给我发的帖子以后还有点不放心，所有又按照baohe的方法把注册表彻底检查了一遍就发现了部分注册表键值和baohe的帖子里说的不一样，有几个地方我根本就没有…… 还有就是这个%System%\finder.com木马文件我在目录下找的时候其他的找到了，唯独这个没有不知道是不是隐藏了。还有我提到的开机的问题，那个说1.com这个文件找不到的毛病已经没了但是另外一个依然还在那个文件名是KB896435.log
一路狂舞初生襁褓狮帖子:57 注册: 2006-07-04 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-07-05 02:14 \| 短消息资料字号：小中大 10楼 http://forum.ikaka.com/topic.asp?board=28&artid=6979213下载System Repair Engineer 2.0.21.505（RC2）导出全部日志。那个.log文件的问题不属于这个木马。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT