smss.exe之wom毒

文章类别 文章来源 文章标题 提交者 发布日期 点击数 原创天空 yude smss.exe之wom毒 yude 2006-5-22 3159   这是一个WOW木马，最近好像中招的人多起来了，这个小木马除了和一般的小木马一样会建立自启动项、关联文件外，它还会修改很多其它关联信息，增加了病毒被激活的机率，也给清除带来了一点点麻烦。 　　 　　在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序，所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧，在处理过程中慢慢体会吧…… 注：可用本站下载的木马杀客，来杀除病毒。之后再手工删除以下文件 　　 　　1. 结束病毒的进程%Windows%/smss.exe（用木马杀客系统进程可以结束） 　　 　　2. 删除相关文件： 　　C:/MSCONFIG.SYS 　　%Windows%/1.com 　　%Windows%/ExERoute.exe 　　%Windows%/explorer.com 　　%Windows%/finder.com 　　%Windows%/smss.exe 　　%Windows%/Debug/DebugProgram.exe 　　%System%/command.pif 　　%System%/dxdiag.com 　　%System%/finder.com 　　%System%/MSCONFIG.COM 　　%System%/regedit.com 　　%System%/rundll32.com 　　%ProgramFiles%/Internet Explorer/iexplore.com 　　%ProgramFiles%/Common Files/iexplore.pif 　　 　　3. 恢复EXE文件关联 　　 删除[HKEY_CLASSES_ROOT/winfiles]项 　　 　　4. 删除病毒启动项： 　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] 　　"Torjan Program"="%Windows%/smss.exe" 　　 修改[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]下 　　"shell"="Explorer.exe 1" 　　为 　　"shell"="Explorer.exe" 　　 　　5. 恢复病毒修改的注册表信息： 　　(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe” 　　 　　(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe” 　　 　　(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe” 　　 　　(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%/Common Files/iexplore.pif”修改为“%ProgramFiles%/Internet Explorer/iexplore.exe” 　　 　　 　6 在command模式下写入assoc .exe=exefile 修复exe关联，这样exe文件才可以打的开　 7 在本站下载木马杀客，来修复exe文件