文章类别文章来源文章标题提交者发布日期点击数原创天空yudesmss.exe之wom毒yude2006-5-223159 这是一个WOW木马,最近好像中招的人多起来了,这个小木马除了和一般的小木马一样会建立自启动项、关联文件外,它还会修改很多其它关联信息,增加了病毒被激活的机率,也给清除带来了一点点麻烦。 在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序,所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧,在处理过程中慢慢体会吧……注:可用本站下载的木马杀客,来杀除病毒。之后再手工删除以下文件 1. 结束病毒的进程%Windows%/smss.exe(用木马杀客系统进程可以结束) 2. 删除相关文件: C:/MSCONFIG.SYS %Windows%/1.com %Windows%/ExERoute.exe %Windows%/explorer.com %Windows%/finder.com %Windows%/smss.exe %Windows%/Debug/DebugProgram.exe %System%/command.pif %System%/dxdiag.com %System%/finder.com %System%/MSCONFIG.COM %System%/regedit.com %System%/rundll32.com %ProgramFiles%/Internet Explorer/iexplore.com %ProgramFiles%/Common Files/iexplore.pif 3. 恢复EXE文件关联 删除[HKEY_CLASSES_ROOT/winfiles]项 4. 删除病毒启动项: [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] "Torjan Program"="%Windows%/smss.exe" 修改[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]下 "shell"="Explorer.exe 1" 为 "shell"="Explorer.exe" 5. 恢复病毒修改的注册表信息: (1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe” (2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe” (3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe” (4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%/Common Files/iexplore.pif”修改为“%ProgramFiles%/Internet Explorer/iexplore.exe” 6 在command模式下写入assoc .exe=exefile修复exe关联,这样exe文件才可以打的开 7 在本站下载木马杀客,来修复exe文件