【警告】警惕smss病毒——特点与我的杀毒方法
昨天,不知在哪里中了招,双击上游棋牌游戏大厅图标,没能打开程序,系统弹出警示,打开程序遇到问题。紧接着,瑞星监控提示有程序企图修改注册表:c:\windows\fonts\syn00-15-f2-c2-5f-26\smss.exe,防火墙也提示smss企图连接网络,一看这个smss怎么不在syestem32下,就知道中毒了。果然在进程里找到两个smss,一个大写的是正常微软的,一个小写的是病毒程序了。无法终止。用瑞星查杀,可是查不出。打开我的电脑,进入c盘,又跳出瑞星监控提示那个smss.exe要修改注册表,在C盘根目录下多出了autorun.inf、ntldr.exe文件,且在其他盘符下都存在。在网上查找了关于smss病毒的情况,知道这是一个木马类的病毒,但遗憾的是瑞星杀不了。只能根据它藏身的地方手动查杀了。
整个杀毒过程从昨晚持续到今天中午,其中由于误删了C盘下的ntldr系统文件导致重启后不能进入windows,从笔记本上拷贝了文件,再在DOS下恢复文件文件花去了不少时间。由于该病毒会自动感染应用程序,故不知有多少程序被感染,只能一个一个试,直到把所有被感染程序全部删除。下面我把病毒的感染特征以及我的排毒方法介绍一下,供大家参考:
1. 病毒感染特征:
打开被感染程序,病毒会在所有硬盘分区(如果有移动存贮连接电脑,说不定也会)根目录下创建autorun.inf、ntldr.exe文件,并生成c:\windows\fonts\syn00-15-f2-c2-5f-26\smss.exe病毒程序。被感染程序无法用控制面板的程序添加删除或自带反安装程序卸载,一旦卸载又会触发病毒发作继续感染其他程序。由于有瑞星监控和系统主动防御功能保护,至少我的电脑到目前为止没有发现C盘下主要应用程序被感染、注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run等未发现被修改。
2. 清毒方法:
先确定哪些程序被病毒感染(试一下,不能打开,或打开触发瑞星监控的都是,为了不致让未感染的程序感染病毒,我比较小心,每次打开一个程序后发现被感染,重启电脑清毒后再试一个程序);重启电脑,用开始菜单上的搜索(千万不要打开我的电脑,会激活病毒autorun)找到autorun.inf、ntldr.exe(不要删ntldr没后缀的那一个!)、syn00-15-f2-c2-5f-26文件夹、还有ani.ani(这个也是该病毒创建在系统里的)把所有此类文件都彻底删除,清空回收站。(今早起来,由于昨天没清干净被感染程序,故把今天创建的所有能删除的不明文件全部删除了。)然后用windows优化大师的智能卸载,将可能被感染的程序(发现有程序被感染,在同一盘符下的同类程序)都统统删除(例如我发现我的E盘下的乾隆股票软件被感染我把同一盘符下的其他所有程序除了已知没感染的优化大师都删了),把备份也删了,清理注册表。这样反复做,直到找不到被感染程序为止。要说明的是,用优化大师删除有时与系统关联的程序不能删除,它会提示你用程序自带卸载程序下载,没关系可以自卸载。无论哪种方法每次卸载后都打开原程序安装的文件夹把残留的文件夹全部删除,不留后患。
现在系统似乎干净了,重装程序,一切正常。
以上是我的操作经验,不知有没有遗漏的后患没删除、清理,望其他有经验的大虾补充告知,万表感谢!也为其他遇到同类问题的网友共享。
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MathPlayer 2.0)
