征途旗帜图标木马―SMSS.EXE

 

病毒名称：征途旗帜图标木马 ——SMSS.EXE
                  据说有新的 “ 变态 ” 木马， SMSS.EXE
主 程 序： %Windows%\SMSS.EXE
图        标：征途旗帜图标
明显现象：双击无法打开硬盘分区且右击硬盘分区有 “ 自动播放选项 ”
文件：
%Windows%\1.com
%Windows%\ExERoute.exe （ EXE 关联）
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif

创建的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"

修改了 EXE 关联到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]

干掉对手：
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*

清除方法之一 ……
1. 运行 Procexp.exe 和 SREng.exe
2. 用 ProceXP 结束 %Windows%\SMSS.EXE 进程，注意路径和图标
3. 用 SREng 恢复 EXE 文件关联
1,2,3 步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了 ……

删除的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为：
"Shell"="Explorer.exe"

删除的文件就是一开始说的那些，别删错就行。

5. 最后打开注册表编辑器，恢复被修改的信息：
查找 “explorer.com” ，把找到的 “explorer.com” 修改为 “explorer.exe” ；
查找 “finder.com” 、 “command.pif” 、 “rundll32.com” ，把找到的 “finder.com” 、 “command.pif” 、 “rundll32.com” 修改为 “rundll32.exe” ；
查找 “iexplore.com” ，把找到的 “iexplore.com” 修改为 “iexplore.exe” ；
查找 “iexplore.pif” ，把找到的 “iexplore.pif” ，连同路径一起修改为正常的 IE 路径和文件名，比如 “C:\Program Files\Internet Explorer\iexplore.exe” 。

这些主要是在以下几个位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet