我们的梦想 [已经解决]电脑高手请入·如何删除看不见的程序

忧郁の丸子 - 2006/5/14 23:55:00

最近电脑不大正常，进程查看器中有两个同名文件，一个是“SMSS.EXE”，另一个是“smss.exe”，而一开机时就会跳出“无法连接”的提示（刚才在解绝SMSS.EXE时，发现这是另一个叫userinit.exe文件造成的），而且右击“发送到”菜单也只剩下“发送到DVD/CD-RW　驱动器”了　

刚才差点一冲动用GHOST了。。。。还好，因为用了mountvol，GHOST不能用，所以才决定自己动手解绝（现在电脑水平很菜啊，就是因为一有问题懒得去查，直接用GHOST　Orz）

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

解绝了，不过不完美，有问题向个位请教一下

在进程管理器中可以看到SMSS.EXE在C:\windows目录下，可就是看不到

因为始终无法阻止那木马的自动运行，所以只好使出必杀，进组策略禁了SMSS.EXE的运行

结果，发现播放器打不开。。。突然想到，这木马可能把exe文件的关联都给改了。用工具把exe文件关联给改了回了，这下正常了

之后，上网下了个“木马克星”一搜索，居然发现：
C:\WINDOWS\ExERoute.exe 怀疑为木马.
C:\WINDOWS\EXERT.exe 怀疑为木马.
C:\WINDOWS\LSASS.exe 怀疑为木马.
C:\WINDOWS\LSASS.exe 怀疑为木马.
C:\WINDOWS\SMSS.EXE 怀疑为木马.

(被怀疑是木马的，“木马克星”是不会删的。。。。汗）

汗。。。那家伙居然还带了那么多的兄弟。。。可是，这几个文件怎么都无法看到。。。我用的是NTFS。。。文件的安全性。。。真是一把双刃剑。。。

求助，哪位知道如何将这些看不到的文件删除啊！进CMD也是无法看到文件，不能删除

ultraghost - 2006/5/14 23:59:00

你不放心可以拿KILLBOX删除。
默认情况下带系统属性文件是不可见的。

忧郁の丸子 - 2006/5/15 0:56:00

谢谢，用KillBox搞定了

hisuiIBMPower4 - 2006/5/15 5:56:00

这几个好象是正常的进程吧.

LOVEHINA-AVC - 2006/5/15 6:01:00

非ROOTKIT用不着烦恼
不能在任务管理器中隐藏的通常都是些普通木马，KILLBOX杀之

Sapphire - 2006/5/15 9:59:00

近期病毒比较嚣张……

偶每天都会固定收到6个网络攻击。

服务项目里多出来个Alemailtn的服务，不过是禁用的。天晓得是什么东西……

忧郁の丸子 - 2006/5/15 10:52:00

这个木马非常狠，杀了又会自己跑出来，把EXE文件关联、启动项又都改回去，某知道这已经远远超出某的所知范围了。。。

杀一次、清一次，它又马上复活一次。在组策略中禁止了SMSS.EXE运行后，一开始没问题，可后来EXE文件都打不开了，这才明白，这家伙的兄弟绝对不止“木马杀手”查出的这些，肯定还替换了其他的系统文件。于是赶快上网查了一下，还真被我找到了。方法如下：

清除方法之一……
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了……
删除以下文件：
%Windows%\1.com
%Windows%\ExERoute.exe（EXE关联）
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif

删除的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为：
"Shell"="Explorer.exe"

删除的文件就是一开始说的那些，别删错就行。

5. 最后打开注册表编辑器，恢复被修改的信息：
查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；
查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；
查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；
查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
大家都要小心啊，平常上网还是把防火墙开着吧

现在我的安全组合用的是：卡巴反病毒、卡巴反黑客、HijackThis、Winprocess、KillBox。

zhangxiushen - 2006/5/15 12:41:00

用安全模式吧,attrib -r -s -h c:\windows\*
实在不行利用IceSword 的禁止进程/线程创建功能防止病毒恢复运行.
至于具体,自己摸索吧,不算复杂.

st-nickkid - 2006/5/15 15:30:00

自己在安全模式里查毒把，如果不行就进DOS再查把，但要准备DOS启动盘。还有有时只是一些程序只间有冲突有啊。不一定就是木马呀。（我还没听说个这儿歌木马——我也是菜鸟。）。不过如果　是不能删的木马会用EXE这样的扩展名吗？（真怪呀。）如果能找到这个文件的话就能好了。

忧郁の丸子 - 2006/5/15 16:07:00

这绝对是木马，看看我删了的文件的名字吧，这不都明显得是伪装成系统文件吗，还有那个PASSWD.LOG，看名字就知道是用来做什么的。

explorer.com、SMSS.EXE、PASSWD.LOG、dxdiag.com、regedit.com、MSCONFIG.COM、iexplore.com

这木马无论是卡马还是金山，都认不出来，“木马克星”也只不过是怀疑，都不能杀。他兄弟太多，光禁止SMSS运行是不行的，禁了的话，其他的文件同样会继续设置EXE文件关联，使得EXE文件无法正常运行。它还会自己复活，这点最可恨。所以自己手动清了３次，最后都失败了。

木马真是能折腾人　－　－　大家当心

KeyFansClub