KeyFC欢迎致辞,点击播放
资源、介绍、历史、Q群等新人必读
KeyFC 社区总索引
如果你找到这个笔记本,请把它邮寄给我们的回忆
KeyFC 漂流瓶传递活动 Since 2011
 

[已经解决]电脑高手请入·如何删除看不见的程序

[ 6071 查看 / 9 回复 ]

最近电脑不大正常,进程查看器中有两个同名文件,一个是“SMSS.EXE”,另一个是“smss.exe”,而一开机时就会跳出“无法连接”的提示(刚才在解绝SMSS.EXE时,发现这是另一个叫userinit.exe文件造成的),而且右击“发送到”菜单也只剩下“发送到DVD/CD-RW 驱动器”了 

刚才差点一冲动用GHOST了。。。。还好,因为用了mountvol,GHOST不能用,所以才决定自己动手解绝(现在电脑水平很菜啊,就是因为一有问题懒得去查,直接用GHOST Orz)

-------------------------------

解绝了,不过不完美,有问题向个位请教一下

在进程管理器中可以看到SMSS.EXE在C:\windows目录下,可就是看不到

因为始终无法阻止那木马的自动运行,所以只好使出必杀,进组策略禁了SMSS.EXE的运行

结果,发现播放器打不开。。。突然想到,这木马可能把exe文件的关联都给改了。用工具把exe文件关联给改了回了,这下正常了

之后,上网下了个“木马克星”一搜索,居然发现:
C:\WINDOWS\ExERoute.exe 怀疑为木马.
C:\WINDOWS\EXERT.exe 怀疑为木马.
C:\WINDOWS\LSASS.exe 怀疑为木马.
C:\WINDOWS\LSASS.exe 怀疑为木马.
C:\WINDOWS\SMSS.EXE 怀疑为木马.

(被怀疑是木马的,“木马克星”是不会删的。。。。汗)

汗。。。那家伙居然还带了那么多的兄弟。。。可是,这几个文件怎么都无法看到。。。我用的是NTFS。。。文件的安全性。。。真是一把双刃剑。。。

求助,哪位知道如何将这些看不到的文件删除啊!进CMD也是无法看到文件,不能删除
分享 转发
学无止境兮路漫漫,苦中作乐兮一堆汗
TOP

回复:[已经解决]电脑高手请入·如何删除看不见的程序

你不放心可以拿KILLBOX删除。
默认情况下带系统属性文件是不可见的。
TOP

回复:[已经解决]电脑高手请入·如何删除看不见的程序

谢谢,用KillBox搞定了
学无止境兮路漫漫,苦中作乐兮一堆汗
TOP

回复:[已经解决]电脑高手请入·如何删除看不见的程序

这几个好象是正常的进程吧.
We are the Borg.You will be http://tinypic.com/xylfl.Resistance is futile
TOP

回复:[已经解决]电脑高手请入·如何删除看不见的程序

非ROOTKIT用不着烦恼
不能在任务管理器中隐藏的通常都是些普通木马,KILLBOX杀之
TOP

回复:[已经解决]电脑高手请入·如何删除看不见的程序

近期病毒比较嚣张……

偶每天都会固定收到6个网络攻击。

服务项目里多出来个Alemailtn的服务,不过是禁用的。天晓得是什么东西……
http://upload.tiancity.com/files/luoqibbs/2007/03/10/20070310130719_8063.jpg
TOP

回复:[已经解决]电脑高手请入·如何删除看不见的程序

这个木马非常狠,杀了又会自己跑出来,把EXE文件关联、启动项又都改回去,某知道这已经远远超出某的所知范围了。。。

杀一次、清一次,它又马上复活一次。在组策略中禁止了SMSS.EXE运行后,一开始没问题,可后来EXE文件都打不开了,这才明白,这家伙的兄弟绝对不止“木马杀手”查出的这些,肯定还替换了其他的系统文件。于是赶快上网查了一下,还真被我找到了。方法如下:

清除方法之一……
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。

4. 可以删除文件和启动项了……
删除以下文件:
%Windows%\1.com
%Windows%\ExERoute.exe(EXE关联)
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif

删除的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为:
"Shell"="Explorer.exe"

删除的文件就是一开始说的那些,别删错就行。

5. 最后打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。

-----------------------------------
大家都要小心啊,平常上网还是把防火墙开着吧

现在我的安全组合用的是:卡巴反病毒、卡巴反黑客、HijackThis、Winprocess、KillBox。
学无止境兮路漫漫,苦中作乐兮一堆汗
TOP

回复:[已经解决]电脑高手请入·如何删除看不见的程序

用安全模式吧,attrib -r -s -h c:\windows\*
实在不行利用IceSword 的禁止进程/线程创建功能防止病毒恢复运行.
至于具体,自己摸索吧,不算复杂.
MicroShop
Calphi
http://www.myider.net/
TOP

回复:[已经解决]电脑高手请入·如何删除看不见的程序

自己在安全模式里查毒把,如果不行就进DOS再查把,但要准备DOS启动盘。还有有时只是一些程序只间有冲突有啊。不一定就是木马呀。(我还没听说个这儿歌木马——我也是菜鸟。)。不过如果 是不能删的木马会用EXE这样的扩展名吗?(真怪呀。)如果能找到这个文件的话就能好了。

三十年雨中孤盼,一万日阁里独寝.
过客推门乃梦醒,群星圆梦方忧尽.——星与梦(上阙)
TOP

回复:[已经解决]电脑高手请入·如何删除看不见的程序

这绝对是木马,看看我删了的文件的名字吧,这不都明显得是伪装成系统文件吗,还有那个PASSWD.LOG,看名字就知道是用来做什么的。

explorer.com、SMSS.EXE、PASSWD.LOG、dxdiag.com、regedit.com、MSCONFIG.COM、iexplore.com

这木马无论是卡马还是金山,都认不出来,“木马克星”也只不过是怀疑,都不能杀。他兄弟太多,光禁止SMSS运行是不行的,禁了的话,其他的文件同样会继续设置EXE文件关联,使得EXE文件无法正常运行。它还会自己复活,这点最可恨。所以自己手动清了3次,最后都失败了。

木马真是能折腾人 - -  大家当心
学无止境兮路漫漫,苦中作乐兮一堆汗
TOP