《偷梁换柱》全世界最最简单对付SMSS。EXE病毒的方法
http://www.cnblogs.com/fzuray/archive/2006/08/10/473241.html
【此法纯属误导网友】这段时间感染了SMSS。EXE,还有其他很多木马,
找了些工具,删除了大部分的木马,最后发现吃我内存,耗费我时间的smss.exe还是存在。 HOHO。。没办法。。我才512M内存啊,他一小时就要吃我200M的内存。我不得不经常重新启动系统、注销系统来清理内存。
很多人说SMSS。EXE很狡猾,而且没有软件可以杀,都必须手动,太麻烦了,要改这么多注册表,我这么懒惰的人宁愿被木马强奸也不愿意改这么复杂的设置。但是我一定会更狡猾地吃掉木马。
我的系统是win 2003,体怔如下:
1)看不到隐藏文件,而木马是隐藏的
2)SMSS进程删除还会起来。
3)内存被吃了很多,有很多错误页面
4)在一些目录中有autorun文件,估计是用做触发功能的。
5)修改msconfig文件,总是会出现tProgram,和spoolsv.exe
我处理如下:
1)通过修改注册表的功能去显示隐藏的文件。操作失败。
2)删除smss.exe文件,被拒绝访问
3)删除autorun文件,一会之后马上自我复制
看来SMSS是我发现最为厉害的强奸犯。
仔细分析,发现SMSS这个病毒隐秘的地方就是自我复制做得很好。所以我想如果停止掉自我复制,那他就没法运行了。
于是我的方法是这样,肯定比别的朋友的方法更简单:
1)新建几个文本文件,分别把名字(包括扩展名)取为:smss.exe,autorun.inf,spoolsv.exe,内容都是空白的。
2。把这些文件分别拷贝到病毒文件所在的位置,一拷贝过去,马上把这个程序的操作权限进行修改.具体如下:
如我使用admin的用户进行操作,而smss。exe也是使用admin进行操作的。那我覆盖完利马把新的smss.exe的权限改成对所有的用户的拒绝。那这样smss.exe木马程序的位置被我的新的“木马”占用了,而且他也无法覆盖。所以真正的木马就失效了,强奸凡就这样被我阉割了。
主要文件的位置如下,遗漏的地方大家补充下:
a)smss.exe:
C:\WINDOWS
b)spoolsv.exe
C:\WINDOWS\system32\spoolsv
c)autorun.inf
d:\
我给这个方法取个名字叫:偷梁换柱。
网络上目前的对付SMSS还没有好的方法,我这个算是比较简单的,顺便呼吁下有认识杀毒软件公司的朋友可以把这个发给他们,让他们马上出个工具,虽然这个还不是很彻底,但是至少能防止木马。
举一反三,对付很多流氓软件都可以用这个方法。
