SMSS分析
正常SMSS.EXE(Session Manager Subsystem)進程為會話管理子系統用以初始化系統變數,MS-DOS驅動名稱類似LPT1以及COM,調用Win32殼子系統和運行在Windows登入過程。它是一個會話管理子系統,負責啟動用戶會話。這個進程是通過系統進程初始化的並且對許多活動的,包括已經正在運行的Winlogon,Win32(Csrss.exe)執行緒和設定的系統變數作出反映。在它啟動這些進程後,它等待Winlogon或者Csrss結束。如果這些過程時正常的,系統就關掉了。如果發生了什麼不可預料的事情,smss.exe就會讓系統停止回響(掛起)。要注意:如果系統中出現了不只一個smss.exe進程,而且有的smss.exe路徑是“%WINDIR%\SMSS.EXE”,那就可以肯定是中了病毒或木馬了。
SMSS清除
ADOBER這2個小垃圾不一樣,純粹的清除其相關病毒檔案,修改註冊表,更改啟動項是沒用的,那時在浪費時間。所以說這個木馬病毒比較高級,挺麻煩。
步驟:手動防毒的時候先把資料夾選項搞好了再進行清除操作,養成個好習慣。顯示隱藏檔案,把那個隱藏受保護的作業系統檔案的勾點掉。
第一步
運行gpedit.msc打開組策略-計算機配置-Windows設定-安全設定-軟體限制策略-其它規則,在右邊視窗空白處右鍵選擇"新散列規則"。這樣smss.exe就不會再運行了。
第二步
運行Procexp.exe(沒得話可以去下個,這個東東很叼,很好用),然後結束%Windows%\SMSS.EXE進程,注意路徑。要是結束SYSTEM的SMSS會重啟的,當然也可以用ntsd命令關掉任務管理器中的smss.exe進程。結束並防止其再次啟動是SMSS.EXE病毒手動清除的關鍵,ROSE等直接可以結束其進程然後刪檔案改註冊表就行了。如果不進行第一和第二步驟是不能清楚SMSS病毒的。
第三步
接下來刪除下面這些檔案: C:\MSCONFIG.SYS
下面的檔案名稱在註冊表中也會出現,忘記是哪幾個了,搜尋下要么修改要么刪除,呵呵,對了還有個WOW你在註冊表中搜艘看是不是有好幾個?
%Windows%\1(是不是在你註冊表中發現啊 哈哈知道怎么中的了吧)
%Windows%\ExERoute.exe %Windows%\explorer %Windows%\finder
%Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif
%System%\dxdiag %System%\finder %System%\MSCONFIG
%System%\regedit %System%\rundll32 %ProgramFiles%\Internet
Explorer\iexplore %ProgramFiles%\Common Files\iexplore.pif %Program
Files%\sfx software\svchost.exe 其它關聯木馬》木馬路徑:C:\WINDOWS\system32\cns.exe
木馬路徑:C:\WINDOWS\system32\cns.dll 木馬路徑:C:\WINDOWS\system32\command.pif
木馬路徑:C:\WINDOWS\system32\MSCONFIG 木馬路徑:C:\WINDOWS\system32\dxdiag
木馬路徑:C:\WINDOWS\system32\regedit
木馬路徑:C:\WINDOWS\system32\drivers\CnsMinKP.sys 然後到註冊表中將下面的鍵值刪除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan
Program"="%Windows%\smss.exe"
(也可以直接搜尋註冊表的這樣比較穩妥和全面一點)並修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1" 為 "shell"="Explorer.exe"
以下步驟可以不進行操作的,不過最好還是掃下吧:分別查找“command.pif”、“finder”、“rundll32”的信息,將“command.pif”、“finder”、“rundll32”修改為“rundll32.exe”
查找“explorer”的信息,將“explorer”修改為“explorer.exe”
查找“iexplore”的信息,將“iexplore”修改為“iexplore.exe”
查找“iexplore.pif”的信息,將找到的“%ProgramFiles%\Common
Files\iexplore.pif”修改為“%ProgramFiles%\Internet Explorer\iexplore.exe”
其中可能有幾個找不到,沒關係,找相同時間的檔案出來刪之(比如這一木馬創立的時間是2006-6-18
15:51你就搜尋所有6-18創建的檔案,當然,時間也要一致,可別刪錯了)如果沒找到,那最好了,說明他已經不存在了。SMSS.EXE病毒相關檔案大小全部一樣為112K,反正我這裡是這么大小,看網上其他人和我寫的不一樣。搞到這裡你可以用些修復軟體對系統進行下恢復,當然也可以不修復的。等等,接下來你不能運行EXE檔案,你開個視頻都要你打開方式的,好下面我們修改下註冊表:不要在運行中輸入東西打不開的。方法一:複製WINDOWS目錄下的regedit.exe到桌面並改名為regedit,然後打開regedit,找到下列分支:HKEY_CLASSES_ROOT\exefile\shell\open\command,雙擊右側視窗中的
(默認) 值,設定為 "%1" %* [包含引號] 再找到: HKEY_CLASSES_ROOT\.exe 雙擊右側視窗中的 (默認) 值,設定為
exefile 然後退出註冊表編輯器,重啟電腦 方法二:複製WINDOWS\system32目錄下的cmd.exe到桌面並改名為cmd
命令行中,依次執行以下命令: ftype exefile="%1" %* [包含引號](回車) assoc .exe=exefile 重啟電腦。
至此SMSS.EXE病毒清除成功。
防範措施
前言
防範措施:在WINDOWS目錄下建立一個SMSS.EXE檔案並設定為”唯讀“這樣就不會在感染木馬了。這話純屬放P,SMSS病毒是利用IE漏洞傳播,可能你隨便開個網頁都有可能中毒,防止這個病毒最好是下個補丁。
具體方法
1、用殺病毒軟體清除記憶體中的病毒進程 k4mm.exe svch0st_.exe qqwb.exe InternetExplorer.exe
smss.exe
2、搜尋計算機中的k4mm.exe svch0st_.exe smss.exe qqwb.exe
等病毒檔案並手動刪除,特別是K4MM.exe和smss.exe
這兩個檔案,現在的防毒軟體還無法識別出是病毒,
3、搜尋註冊表中鍵值為C:\winnt\smss.exe 的項,全部刪除
如果沒有防毒軟體,就只好啟動到安全模式下手動清除了。
win2k和winxp用戶:
查找註冊表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon下的shell鍵值,修改為Explorer.exe
win98和winme用戶:
查找system.ini,在system.ini中,查看以下內容:
shell=Explorer.exe
如果不是的,將其修改為以上內容
另外也查找一下run、runservice鍵值,看有否相應的啟動項