吊影的博客网

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://simmis.yourblog.org/logs/570452.html

——进程smss.exe原本是Windows自带的system进程。如果Windows任务管理器的启动项中出现了两个smss，其中一个是system进程，原文件在c:\windows\system32下；另一个是用户进程，原文件在c:\windows下，那么占内存较多的用户进程smss是病毒文件。 我是最近一两天中这个病毒的。除了进程的不正常外，还可以明显看出来的c盘根目录下多了Winxp.exe、boot.hta，D盘根目录出现个指向MSDOS的pagefile。就是这几天查资料比较多些，开得网页也杂。不过我感觉似乎是5q的网页上挂了不干净的东西，只要一个开它，Norton开始报警，任务管理器里的进程也狂闪。 下面说一下清除方法。方法是网上的一个达人总结的，在这里记下来，并结合我的清楚过程稍作了些修改，以备后用。 1.终止进程smss.exe。 我用的是HijactThis修复终止的，其他的进程强制终止软件应该也可以。（HijackThis是一个不错的软件，一同绑定的Killbox也蛮好，推荐下！） 2. 删除相关文件。 先把c根目录下的boot.hta 、winxp.exe和D盘下的pagefile删除，然后文件加选项中设置显示隐藏文件和系统文件。然后删除： C:\MSCONFIG.SY(我没发现这个文件) C:\Windows\1.com C:\Windows\ExERoute.exe C:\Windows\explorer.com C:\Windows\finder.com C:\Windows\smss.exe C:\Windows\Debug\DebugProgram.exe C:\Windows\System32\command.pif C:\Windows\System32\dxdiag.com C:\Windows\System32\finder.com C:\Windows\System32\MSCONFIG.COM C:\Windows\System32\regedit.com C:\Windows\System32\rundll32.com C:\ProgramFiles\Internet Explorer\iexplore.com C:\ProgramFiles\Common Files\iexplore.pif 3. 恢复EXE文件关联。 在进行过第2项操作后，exe关联出现了错误，每当开打exe执行文件的时候就会出现“执行操作关联”的对话框，提示选择打开文件的程序。 恢复方法：在“工具\文件夹选项”里选择新建，加入exe，然后点“高级”，在下拉里选择“应用程序”。那位达人的意见是将c:\windows\ 底下的regedit.exe修改后缀regedit.com，试了下，这样做可以，至于这样做对后面产生什么影响我不知道。 ！！！删除[HKEY_CLASSES_ROOT\winfiles]项 4. 删除注册表内病毒启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"="%Windows%\smss.exe" 修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下 "shell"="Explorer.exe 1"为"shell"="Explorer.exe" 5. 恢复病毒修改的注册表信息： (1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe” (2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe” (3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe” (4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe” 以上是所有的清除步骤，我做的时候也不完全是按这样的顺序来的。 如果有问题请留言。谢谢！