smss.exe和lsass.exe及捆绑病毒介绍及查杀方法

来源：pcdog 作者：出处：综艺读书 2007-07-16

关键词：杀毒病毒 winnt windows nt windows 2000

文件：

%Windows%\1.com
%Windows%\ExERoute.exe（EXE关联）
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG

%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif

创建的启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1"

修改了EXE关联到：

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]

干掉对手：

TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*

清除方法之一……

1. 运行Procexp.exe和SREng.exe

2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标

3. 用SREng恢复EXE文件关联1，2，3步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了……

删除的启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1"修改为："Shell"="Explorer.exe"

删除的文件就是一开始说的那些，别删错就行。

5. 最后打开注册表编辑器，恢复被修改的信息：

查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；
查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；
查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；
查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C：\Program Files\Internet Explorer\iexplore.exe”。

这些主要是在以下几个位置：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

小编建议：安装杀毒软件和防火墙，一定要及时更新杀毒软件病毒库，给操作系统打补丁。

更多内容请看QQ病毒安全频道病毒/木马/恶意软件专题，或进入讨论组讨论。

上一页 1 2 3

【收藏此文】【大中小】【打印】【关闭】

较早的文章：彻底解决services.exe进程病毒

较新的文章：操作系统重装后免中毒十招技巧

站内各频道最新更新文档

形形色色的台湾特产

怀念“黛玉”妹妹

·如何设置路由器
·照片合成处理软件
·RedHat6.2服务配置之Apache
·提升电脑性能的方法
·电脑无法正常启动的问题
·delphi两种方法使用xml文档
·证券行业交易平台解决方案
·三星人寿保险Sybase案例

·东软商业保险系统解决方案
·CSO向Sun平台应用移植解决..
·东软税务全面整体解决方案
·珠海国地税KILL安全系统案例
·友讯：D-Link助昆明市公安..
·江苏邮政票据打印机系统方案
·浪潮：云南国税备份系统案例
·CSS 标签属性

站内最新制作专题

·ACDSEE专题教程-下载使用
·迅雷专题教程-下载使用
·Windows XP频道
·Windows Vista频道
·Windows 2000频道
·win2003频道
·Freebsd频道
·Oracle频道

·Linux频道
·Windows频道
·邮件服务器专题
·协议大全
·数据恢复指南教程
·FreeBSD使用教程
·Linux数据库宝典
·Linux基础知识

热门关键字导读

Photoshop教程：照片处理照片制作 PS快捷键抠图
计算机故障：XP系统修复
艺术与设计：设计流媒体设计欣赏边框
计算机安全：ARP

站内频道文章精选

新闻资讯	电脑技巧
· 秘密:Vista隐蔽的动态屏保 · 腾讯开发新电子宠物--QQ熊 · 惠普否认2999元PC有价无货	· 驱逐Win系统“流氓”文件 · WinXP中获取未使用的IP地址 · 尝试format C:格式化硬盘？
操作系统	常用软件
· 在DOS下恢复回收站中的文件 · 拯救WinXP崩溃的救命稻草 · Linux系统中超级权限的应用	· 搜狗PK谷歌：谁能代言拼... · 昨日重现，一键GHOST轻松.. · 实现Web迅雷在空闲时杀毒
桌面开发	网络编程
· AVIFile函数制做AVI文件 · VC中链接动态链接库的方法 · 熊猫烧香核心源码(Delphi)	· DateDiff函数祥解 · JavaScript去除空格的三种 · js效果图片加载进度实时..
数据库	图像处理
· SQL Server数据库优化方案 · Oracle的初学者入门心得 · JSP连接Mysql数据库	· Photoshop为美女做艺术处理 · 用Freehand创建发光字特效 · 设计自己的个性QQ动态表情

百度推荐，商机无限

搜索您感兴趣的内容