不看会后悔的Windows XP之经验谈	简单快捷DIY实用家庭影院

我的winme中了SMSS病毒，杀完毒后进入系统黑屏

楼主treehome2006（shu）2006-06-24 10:34:02 在 Windows专区 / Windows 9X 提问

我的winme中了SMSS病毒，杀完毒后进入系统黑屏
我已经在安全模式下修改好注册表了，病毒都应该杀完了
是不是系统被破坏了，我不想重装，有朋友能帮忙吗？问题点数：20、回复次数：7Top

1 楼chang_bo（夜鹰 MS MVP http://blog.sina.com.cn/changbo）回复于 2006-06-26 10:59:42 得分 0

http://www.pandays.com/blogview.asp?logID=489Top

2 楼Purpleendurer（编程—>任是无情也动人^_^）回复于 2006-07-07 17:11:14 得分 0

系统还能启动吗?Top

3 楼RQG（大狗）回复于 2006-07-31 14:35:37 得分 0

征途旗帜图标木马——SMSS.EXE

据说有新的“变态”木马，SMSS.EXE

主程序：%Windows%\SMSS.EXE
图标：征途旗帜图标

文件：
%Windows%\1.com
%Windows%\ExERoute.exe（EXE关联）
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif

创建的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"

修改了EXE关联到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]

干掉对手：
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*

清除方法之一……
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了……

删除的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为：
"Shell"="Explorer.exe"

删除的文件就是一开始说的那些，别删错就行。

5. 最后打开注册表编辑器，恢复被修改的信息：
查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；
查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif

”、“rundll32.com”修改为“rundll32.exe”；
查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；
查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如

“C:\Program Files\Internet Explorer\iexplore.exe”。

这些主要是在以下几个位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternetTop

4 楼tanyi2000（虚怀若谷）回复于 2006-07-31 16:33:59 得分 0

楼上的介绍得非常的详细了．Top

5 楼gsyclgh（海纳百川）回复于 2006-08-01 22:54:38 得分 0

我已被此东西,重做系统了,太可恨了.Top

6 楼myangelonline（邂逅網絡）回复于 2006-08-22 02:26:34 得分 0

這個病毒見過
比較麻煩

中招之後
D盤會多出一個：自動播放Top

7 楼ribut9225（幽灵庄主）回复于 2006-08-22 08:50:42 得分 0

多谢大狗
说得好详细
收藏了Top

我的winme中了SMSS病毒，杀完毒后进入系统黑屏

1 楼chang_bo（夜鹰 MS MVP http://blog.sina.com.cn/changbo）回复于 2006-06-26 10:59:42 得分 0

2 楼Purpleendurer（编程—>任是无情也动人^_^）回复于 2006-07-07 17:11:14 得分 0

3 楼RQG（大狗）回复于 2006-07-31 14:35:37 得分 0

4 楼tanyi2000（虚怀若谷）回复于 2006-07-31 16:33:59 得分 0

5 楼gsyclgh（海纳百川）回复于 2006-08-01 22:54:38 得分 0

6 楼myangelonline（邂逅網絡）回复于 2006-08-22 02:26:34 得分 0

7 楼ribut9225（幽灵庄主）回复于 2006-08-22 08:50:42 得分 0

相关问题

关键词

得分解答快速导航

相关链接

广告也精彩

反馈