BlogJava-joinose-随笔分类-My newshttp://www.blogjava.net/joinose/category/9441.htmlzh-cnFri, 02 Mar 2007 06:41:51 GMTFri, 02 Mar 2007 06:41:51 GMT60[病毒提示]smss.exe病毒http://www.blogjava.net/joinose/archive/2006/05/27/48482.html水晶鱼水晶鱼Sat, 27 May 2006 07:02:00 GMThttp://www.blogjava.net/joinose/archive/2006/05/27/48482.htmlhttp://www.blogjava.net/joinose/comments/48482.htmlhttp://www.blogjava.net/joinose/archive/2006/05/27/48482.html#Feedback0http://www.blogjava.net/joinose/comments/commentRss/48482.htmlhttp://www.blogjava.net/joinose/services/trackbacks/48482.html一开机,感觉速度比平常慢好多,于是查看一下进程,发现有两个smss.exe,我知道这个是系统进程,可一般只会运行一个的,为什么今天有两个在运行?而且其中一个占内存竟达10M以上,正常情况下只占300K左右。于是得出结论:中毒了。
按照本人平常手工杀毒的步骤开始杀毒:
1.结束病毒进程,禁用病毒服务
2.查找病毒文件及其变种文件
3.查找注册表的启动项或其它项中关于该病毒的项值
在执行第一步时,发现smss.exe这个进程不容易杀掉,试过在安全模式下也不行,但我记得有一个命令是可以强制结束指定进程的,这个命令就是:ntsd,不过需要加上一些参数,先ntsd /?查看一下帮助,经过一番研究,发现可以通过pid结束指定进程,命令如下:
ntsd -c q -p pid
将pid换成病毒进程对应的pid就可以了,这个pid可以通过任务管理器中查到.
接下来的两步都很顺利,重起系统后发现病毒已经被清除。
以下是杀毒全过程:

第一步.JPG
第二步.JPG 第三步.JPG 第四步.JPG
杀病毒的时候没有记录步骤,以下是凭记忆记录下来的:
假设你的系统是winxp在C盘:
先将系统文件及隐藏文件设置成可查看
1.结束smss.exe(注意别看错了)进程:
ntsd -c q -p 进程号
2.删除C:\windows(2000是winnt)下的这几个病毒文件:
rund1132.com
regedit.com
MSCONFIG.COM
dxdiag.com
command.pif
3.删除C:\windows\system32下的这几个病毒文件:
smss.exe
finders.com
EXP10RER.com
exerouter.exe
1.com
4.删除C:\Program Files\Internet Explorer\IEXPLORE.com
5.删除C:\Program Files\Common Files\IEXPLORE.pif
6.删除C:\WINDOWS\Debug\DebugProgram.exe
7.删除其它盘符根目录(如D盘,E盘)下的病毒文件pagefile.pif和Autorun.inf文件(这是病毒伪装成

页面文件,并让其自动播放,这样在双击这个盘的时候就会自动运行病毒)
8.删除注册表中的Run下的病毒自运行项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="C:\Windows\smss.exe"
9.做完以上步骤,你会发现所有的执行程序(exe)双击都无法运行,这是因为病毒在注册表中改写了exe

的关联,将以下内容复制到记事本,保存为"*.reg",然后双击即可恢复关联:

Windows Registry Editor Version 5.00
; by 水晶鱼[31449581]
[HKEY_CLASSES_ROOT\*]

[HKEY_CLASSES_ROOT\.exe]
"Content Type"="application/x-msdownload"
@="exefile"

[HKEY_CLASSES_ROOT\exefile]
@="Application Extension"

10.嘿嘿,别以为这样就搞定了,病毒很可恶,启动的时候还会提示"找不到文件1",这个简单,把注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的"shell"项目的值

改为"explorer.exe"

 



水晶鱼 2006-05-27 15:02 发表评论
]]>[病毒提示]今晚有人黑我http://www.blogjava.net/joinose/archive/2006/04/06/39693.html水晶鱼水晶鱼Thu, 06 Apr 2006 15:26:00 GMThttp://www.blogjava.net/joinose/archive/2006/04/06/39693.htmlhttp://www.blogjava.net/joinose/comments/39693.htmlhttp://www.blogjava.net/joinose/archive/2006/04/06/39693.html#Feedback3http://www.blogjava.net/joinose/comments/commentRss/39693.htmlhttp://www.blogjava.net/joinose/services/trackbacks/39693.html原来是一个Dos程序病毒,嘿嘿,小样,还想黑我!赶紧对它来一个shift+delete.
【以下为模拟截图】
===========================================
病毒演示01.JPG病毒演示02.jpg病毒演示03.jpg
水晶鱼 21:24:46
呵呵,这是病毒
 
水晶鱼 21:24:52
很让你失望,害不到我
 
芥蒂&~ 21:26:44
 小样算你小命好
水晶鱼 21:25:49
切,这种小case 拿去欺负那些不懂电脑的吧 
 
芥蒂&~ 21:27:17
是吗,那你来点高级的 
 
水晶鱼 21:26:30
赚钱要紧,没空害人 ,年轻人,做人要厚道
 
芥蒂&~ 21:28:04
偶以为你是傻B所以发给你瞧瞧,,偶也不是这个号号的主人
水晶鱼 21:27:12

 
芥蒂&~ 21:28:38
 要不要合作 ?
水晶鱼 21:27:33

芥蒂&~ 21:28:43
 在打电话?
水晶鱼 21:27:39
没空合作,珊瑚虫告诉我你的IP在扬州
,正在打电话通知扬州110。

消息一出,此人已不在线......

水晶鱼 2006-04-06 23:26 发表评论
]]>Why Blog?http://www.blogjava.net/joinose/archive/2006/04/03/39032.html水晶鱼水晶鱼Mon, 03 Apr 2006 14:56:00 GMThttp://www.blogjava.net/joinose/archive/2006/04/03/39032.htmlhttp://www.blogjava.net/joinose/comments/39032.htmlhttp://www.blogjava.net/joinose/archive/2006/04/03/39032.html#Feedback0http://www.blogjava.net/joinose/comments/commentRss/39032.htmlhttp://www.blogjava.net/joinose/services/trackbacks/39032.html三年以来,做笔记一直都用笔和纸,所以没有打算过要用Blog,
最近一个月莫名其妙不见了三支笔,笔记本(非电子版)也用光了,
嘿嘿,找不到笔和纸,只好写blog了......



水晶鱼 2006-04-03 22:56 发表评论
]]>