【新闻】警惕smss.exe进程,自身备份最多的木马

wentaoma

首先,看看是不是有2个SMSS.EXE,只有1个是正常的系统进程


smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

发现D:盘下头发现有autorun.inf, command.com和pagefile.pif文件，删了又会出来,估计是病毒了，看了下任务管理器，里头有两个SMSS.EXE进程，而且无法结束
用ntsd -c q -p命令结束进程,并删除windows目录及注册表相关信息后,病毒还是存在

后来搜到解决方法后,才知道有那么多木马自身的备份文件!

[ 本帖最后由 wentaoma 于 2006-6-19 02:08 编辑 ]

wentaoma

下面转帖解决的办法

注意,请先下载exe关联恢复程序,不然会有很多麻烦!

_______
加上exe关联的修复
http://download.rising.com.cn/zsgj/RegClean.com

[ 本帖最后由 wentaoma 于 2006-6-19 02:07 编辑 ]

wentaoma

征途旗帜图标木马清理方法——删除SMSS.EXE进程木马

主程序：%Windows%\SMSS.EXE
图标：征途旗帜图标



文件：
%Windows%\1.com
%Windows%\ExERoute.exe（EXE关联）
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif
创建的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改了EXE关联到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]
干掉对手：
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*
清除方法之一……
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序，不要颠倒。
4. 可以删除文件和启动项了……
删除的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为：
"Shell"="Explorer.exe"
删除的文件就是一开始说的那些，别删错就行。
5. 最后打开注册表编辑器，恢复被修改的信息：
查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；
查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；
查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；
查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。
这些主要是在以下几个位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
清理方法
另一解决方法:
对于那个木马文件smss.exe,路径为c:\windows\,正常应该是c:\windows\system32,直接删除根本就没用,因为任务管理器里一直会有它的进程,用ntsd命令关掉后马上又出来了,后来得到龙卷风一位兄弟的方法搞定了,
具体步骤是:运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则"
[attachment=302384]
然后点击浏览找到木马文件,也就是c:\windows\smss.exe,安全级别选择"不允许的",
[attachment=302385]
这样smss.exe就不会再运行了,然后用ntsd命令关掉任务管理器中的smss.exe进程,记住,要关那个用户不是SYSTEM的.
这样就解决了smss.exe,这个也是很主要的,接下来删除下面这些文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
%Program Files%\sfx software\svchost.exe
然后到注册表中将下面的键值删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
并修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
接下来需要修复EXE文件关联,可以用注册表文件搞定,网上很容易搜索,找不到的可以PM找我要.
然后恢复病毒修改的注册表信息：
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
到这里基本上就搞定了.
对于那个进程中自动出现的IEXPLORE.EXE,似乎和这个不是一个木马,而是另外一个,用卡巴监控能发现,但木马杀客找不到,会在c:\program files下自动生成1.exe,3.exe,4.exe类似的文件,都隐藏为系统文件了,在c:\program files\internet explorer目录下会有一个隐藏的系统文件叫IEXPLORE.SYS,依然用上面提到的组策略把这个文件禁用,然后删除1.exe,3.exe,4.exe.
最后,在C盘根目录中找到病毒生成的目录,一般都是隐藏的文件夹,删除即可,至于如何判断是否系统文件,就不用我啰嗦了吧.
至此,基本就算搞定了,然后将系统中的临时文件,包括IE临时文件全部删除,将杀软升级到最新病毒库全盘扫描,用木马专杀工具扫描木马.

wentaoma

本人按第二个方法成功删除该木马.

wentaoma

QUOTE:

原帖由 SUPEMARS 于 2006-4-6 22:02 发表
不可能不加载的  以上XD说的方法我都实验过的没有任何用 在安全模式下开机还是自动启动
在GOOGLE上面看了一下  还没有能删了他的

谢谢XD门  帮我解决的送HUBHUB一个和全部NB

【新闻】警惕smss.exe进程,自身备份最多的木马
http://www.ibmnb.com/thread-387960-1-1.html

charlestan

刚看了下，我机器只有1个smss
还好

bighedgehog1981

我也查了一下，就一个

conquer

我的只有一个
正常不？

Exer

我只有一个，还好。

charles_sun

不放心，赶紧看了下，还好是1个！

ASP

楼主说的那几样木马或病毒，在这段时间TNND全部光临偶小黑，我晕。

van_zaya

我也中了这个木马，是通过恶意网页传染的，这个病毒非常难删除，我最后重装系统完事。
现在都不敢用IE内核的浏览器了，装的盗版En XP，没法更新安全补丁

zxcvbasdfg1

靠，这个病毒厉害

fellowhua

一个

svchost.exe 5个

juyiheng

嘿  俺也只有一个

街头篮球

我的怎么有4个？

williamw

拷，我有六个呢

街头篮球

这回好了，一个都没有了

minnows

我的一个都没有