如何删除c:\windows\smss.exe病毒程序?

vipnai

各位大侠朋友：可恶的c:\windows\smss.exe病毒程序,和它一起还有“shell和1”。在安全模式下，结束smss.exe进程，可以删除，注册表项也可以删除，可是只要启动某个（任何）程序它们就自动生成并运行。请大侠朋友帮忙出出主意我如何彻底删除它们？还有我的电脑从“开始、运行中键入msconfig”电脑没反映，看不到启动项和服务项，键入regedit能打开注册表，这是否和它们有关？谢谢

6618

中了SMSS魔兽木马,各位被盗号滴兄弟们，为了避免再中毒，我找了两个办法综合了一下：
中毒的朋友会有一个统一的症状：在进程里会多出一个SMSS(正常的是一个，内存占用400K左右)，这是魔兽木马，虽然是个小木马，但查杀起来也较为费工夫，具体步骤如下：
（在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序，所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧，在处理过程中慢慢体会吧。。。）
先进入安全模式~
1. 结束病毒的进程%\Windows\smss.exe（隐藏文件，把那个隐藏受保护的操作系统文件的勾点掉就能看到）
2. 删除相关文件：
C:\MSCONFIG.SYS
windows\1.com
windows\ExERoute.exe
windows\explorer.com
windows\finder.com
windows\smss.exe
windows\Debug\DebugProgram.exe
windows\command.pif
windows\dxdiag.com
system32\finder.com
system32\MSCONFIG.COM
system32\regedit.com
system32\rundll32.com
ProgramFiles\Internet Explorer\iexplore.com
ProgramFiles\Common Files\iexplore.pif
其中可能有几个找不到，没关系，找相同时间的文件出来删之（比如一木马的时间是2006-2-26 23：37(我中的木马修改时间。。。55~~，你就搜索所有2-26创建的文件，当然，时间也要一致，可别删错了）如果没找到，那最好了，说明他已经不存在了。
3. 恢复EXE文件关联
方法一：复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com，然后打开注册表，找到下列分支：HKEY_CLASSES_ROOT\exefile\shell\open\command，双击右侧窗口中的 (默认) 值，设置为 "%1" %* [包含引号]
再找到:
HKEY_CLASSES_ROOT\.exe
双击右侧窗口中的 (默认) 值，设置为 exefile
然后退出注册表编辑器，重启电脑
方法二：复制WINDOWS\system32目录下的cmd.exe到桌面并改名为cmd.com
命令行中，依次执行以下命令：
ftype exefile="%1" %* [包含引号](回车)
assoc .exe=exefile
重启电脑。
4. 删除病毒启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
5. 恢复病毒修改的注册表信息：
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”(找不到应该也安全了吧)
查一下所有和smss.exe文件同时生成的文件,总共估计有30个(也有可能少的，那是因为这是它的变种)
其中有一两个大小不符的,其他都是39K
system32下还有个a.exe也要删除！
防范措施：在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“这样就不会在感染木马了~OK，祝大家玩的高兴。。。

vipnai

谢谢版主,我现在就进入安全模式,试一试,成功后再回结果,谢谢

6618

[这个贴子最后由6618在 2006/04/23 10:23am 第 1 次编辑]

上面是我在网上找的，整理了一下的帖子，如果朋友你觉得太复杂，试试这样看行不行：
1、先把附件下载下来，解压备用（这是一个注册表文件，REG格式，为删了病毒文件后，修复EXE文件关联作准备的）
[UploadFile=EXEFILE_1145758163.rar]
2、启动盘进入纯DOS，如果是C盘是NTFS格式需支持这种格式的启动盘或用XP安装盘进入“系统修复控制台”，进入windows目录，把smss.exe改成smss.vir再用EDIT命令建一个smss.txt并改名为smss.exe，同时把smss.exe的属性设为只读。具体命令如下：
c:
cd windows
ren smss.exe smss.vir
（万一出了问题，如启动时进不了系统，可再把smss.vir改成smss.exe）
edit smss.txt
ren smss.txt smss.exe
attrib smss.exe +r
注：以上的操作，要有一点DOS的基础。

vipnai

谢谢版主大侠,小弟按你的方法已成功删除,再次谢谢

6618

不用客气，大家互相学习，互相进步。

beisijing

本人也是中这个病毒，千里寻到此处，有个问题想问下。
1：其中可能有几个找不到，没关系，找相同时间的文件出来删之（比如一木马的时间是2006-2-26 23：37(我中的木马修改时间。。。55~~，你就搜索所有2-26创建的文件，当然，时间也要一致，可别删错了）如果没找到，那最好了，说明他已经不存在了。

是不是找不到就不管了，还是要找没找出来的文件的相同时间的文件？（有点饶口）
需要的话怎么找相同时间的文件？

2：复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com
请问怎么改名，是不是直接在加.com？（我试过这样，打开注册表马上启动病毒）

3：第3步到第4步重起电脑是不是还要到安全模式？

4：能不能把第5步的具体步骤写出来
“command.pif”、“finder.com”、“rundll32.com”我在注册表里查过根本没查出过
是不是在整个电脑里查？（2），（3），（4）如此

5：防范措施：在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“这样就不会在感染木马了~OK，祝大家玩的高兴。。。
请具体说下怎么建立这个文件的步骤？

beisijing

请斑竹尽快回复，这病毒以控饶我几日，弄我的现在怕我的魔兽帐号被盗。
555555555555555555，在此谢谢斑竹了。

6618

本人也是中这个病毒，千里寻到此处，有个问题想问下。
1：其中可能有几个找不到，没关系，找相同时间的文件出来删之（比如一木马的时间是2006-2-26 23：37(我中的木马修改时间。。。55~~，你就搜索所有2-26创建的文件，当然，时间也要一致，可别删错了）如果没找到，那最好了，说明他已经不存在了。

是不是找不到就不管了，还是要找没找出来的文件的相同时间的文件？（有点饶口）
需要的话怎么找相同时间的文件？
是的，找不到就不管，找不到，你想管也管不了。

2：复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com
请问怎么改名，是不是直接在加.com？（我试过这样，打开注册表马上启动病毒）
不是，需在“工具——文件夹选项——查看——隐藏已知文件扩展名的选项打开”的勾去掉，让regedit.exe显示出.exe再把.exe改成.com.如果楼主有一定DOS基础，按我4楼说的方法杀比较简单。
3：第3步到第4步重起电脑是不是还要到安全模式？
是的，最好在安全模式杀。
4：能不能把第5步的具体步骤写出来
“command.pif”、“finder.com”、“rundll32.com”我在注册表里查过根本没查出过
是不是在整个电脑里查？（2），（3），（4）如此
如果在注册表找不到，就先不管它，你是怎么找的？注意要先把regedit.e改成regedit.com，再在运行中输入regedit.com打开注册表，先在注册表中的HKEY_CLASSES_ROOT键找。
5：防范措施：在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“这样就不会在感染木马了~OK，祝大家玩的高兴。。。
请具体说下怎么建立这个文件的步骤？
首先确定你删掉了WINDOWS目录下的SMSS.EXE，打开WINDOWS目录，用记事本建一文本文档并改名为smss.exe，注意要把.txt改成.exe，然后把smss.exe的属性改成只读。

beisijing

谢谢斑竹，病毒以基本被我删除。不过还几个问题想问下。
1：按照斑竹的回复，我把regedit.exe改成regedit.com再打开注册表，仍然没找到第5步所说的command.pif”、“finder.com”、“rundll32.com”“iexplore.com”,“iexplore.com"“iexplore.pif"
我的查找的方法：右键HKEY_CLASSES_ROOT----查找---输入finder.com等等-----查找下一个

2：现在我机器的EXPLORER。EXE进程在每过一段时间都要自动关闭在自行启动。（病毒没删之前都是弹出cmd--timer-xxx[记不清了]EXPLORER。EXE程序错误，XXXXXXXXXX内存不能READ）
请问一下斑竹这是什么问题？是不是SMSS。EXE病毒留下的后遗症？

6618

谢谢斑竹，病毒以基本被我删除。不过还几个问题想问下。
1：按照斑竹的回复，我把regedit.exe改成regedit.com再打开注册表，仍然没找到第5步所说的command.pif”、“finder.com”、“rundll32.com”“iexplore.com”,“iexplore.com"“iexplore.pif"
我的查找的方法：右键HKEY_CLASSES_ROOT----查找---输入finder.com等等-----查找下一个
不用客气，大家互相学习，如果还是找不到，应该就已不存在了，不用再管它。

2：现在我机器的EXPLORER。EXE进程在每过一段时间都要自动关闭在自行启动。（病毒没删之前都是弹出cmd--timer-xxx[记不清了]EXPLORER。EXE程序错误，XXXXXXXXXX内存不能READ）
请问一下斑竹这是什么问题？是不是SMSS。EXE病毒留下的后遗症？
建议：
1、用杀毒软件再全面查杀C盘看看病毒彻底清除了没有。
2、用原来安装的XP安装盘提取explorer.exe（也不一定要原来的安装盘，但最好XP的版本相同的XP安装盘）覆盖c:\windows下的explorer.exe——预防explorer.exe给病毒注入了进程。
3、用记事本在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“，（即前面帖子的第5步），这一步对防范此病毒是有一定的作用的，让系统的安全性进一步加强。

如果做了这三步，还存在上面的问题，请楼主继续跟帖。

[ 本帖最后由 6618 于 2006-6-7 08:39 AM 编辑 ]

beisijing

555555555,我的电脑中了Trojan-Downloader.Win32.Small.cwt木马，以前用卡巴删过想不到现在又来了。（好象就没完全删掉，他的访问对象是C；\。。。\TEMP\aua1\aua1.exe)

斑竹不说我还没注意我的XP版本是microsoft windows xp professional 版本2002 Service pack 1。（是当初买电脑的时候给我装的）
晕，属我不才这是啥版本？市场还能买到这个版本的XP？不是我这个版本的explorer.exe我复制覆盖行不行？

[ 本帖最后由 beisijing 于 2006-6-7 05:04 PM 编辑 ]

6618

555555555,我的电脑中了Trojan-Downloader.Win32.Small.cwt木马，以前用卡巴删过想不到现在又来了。（好象就没完全删掉，他的访问对象是C；\。。。\TEMP\aua1\aua1.exe)
aua1.exe是一种恶意网页病毒，先结束该进程，接着进注册表搜索aua1，删除所有相关项，再进temp目录删除aua1.exe文件，进ie管理加载项，禁用所有不明的activeX，即可。

或者直接用KILLBOX删除，如下图：

6618

斑竹不说我还没注意我的XP版本是microsoft windows xp professional 版本2002 Service pack 1。（是当初买电脑的时候给我装的）
晕，属我不才这是啥版本？市场还能买到这个版本的XP？不是我这个版本的explorer.exe我复制覆盖行不行？
我的是SP2的，上传不了给你，哪位是SP1的朋友请上传一个，朋友你或者先不管它，因为你的explorer.exe也没有确定就是中了毒，楼主用下面的工具扫描一下，如果可能把扫描结果传上来：

beisijing

谢谢斑竹提供的工具，下面是搜索的结果
未知家族病毒分析
扫描结果:
无可疑文件


系统活动进程
C:\WINDOWS\SYSTEM32\ALG.EXE
C:\WINDOWS\SYSTEM32\OODAG.EXE
D:\安装程序\QQ\QQ.EXE
C:\windows\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
D:\安装程序\MAXTHON\MAXTHON.EXE
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM32\RES.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\PROGRAM FILES\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE
C:\WINDOWS\EXPLORER.EXE
D:\瑞星诊听器4[1].0\RAVDETECT4.0.EXE
D:\游戏\WORLD OF WARCRAFT\UTALK\UTALK.EXE

普通自启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
PHIME2002ASync = C:\WINDOWS\SYSTEM32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PRONoMgr.exe = C:\PROGRAM FILES\INTEL\NCS\PROSET\PRONOMGR.EXE
ATIPTA = C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
res = C:\WINDOWS\SYSTEM32\RES.EXE
KAVPersonal50 = "D:\安装程序\KASPERSKY ANTI-VIRUS PERSONAL PRO\KAV.EXE" /MINIMIZE

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe = C:\WINDOWS\SYSTEM32\CTFMON.EXE
LDM = C:\PROGRAM FILES\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE


系统文件关联
.exe ==> exefile = "%1" %*
.com ==> comfile = "%1" %*
.cmd ==> cmdfile = "%1" %*
.bat ==> batfile = "%1" %*
.txt ==> txtfile = %SystemRoot%\system32\NOTEPAD.EXE %1
.scr ==> scrfile = "%1" /S
.reg ==> regfile = regedit.exe "%1"
.doc ==> Word.Document.8 = "C:\Program Files\Microsoft Office\Office\WINWORD.EXE" /n

其它启动项
WIN.INI
无信息

SYSTEM.INI
SHELL = explorer.exe


Winlogon 启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
crypt32chain = CRYPT32.DLL
cryptnet = CRYPTNET.DLL
cscdll = CSCDLL.DLL
ScCertProp = WLNOTIFY.DLL
Schedule = WLNOTIFY.DLL
sclgntfy = SCLGNTFY.DLL
SensLogn = WLNOTIFY.DLL
termsrv = WLNOTIFY.DLL
wlballoon = WLNOTIFY.DLL

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\WINDOWS\SYSTEM32\USERINIT.EXE,
shell = EXPLORER.EXE


IE - BHO

Winsock SPI
MSAFD Tcpip [TCP/IP] = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD Tcpip [UDP/IP] = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD Tcpip [RAW/IP] = C:\windows\SYSTEM32\MSWSOCK.DLL
RSVP UDP Service Provider = C:\windows\SYSTEM32\RSVPSP.DLL
RSVP TCP Service Provider = C:\windows\SYSTEM32\RSVPSP.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{ED0821DE-2030-45BE-82F6-551FE2C64C28}] SEQPACKET 0 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{ED0821DE-2030-45BE-82F6-551FE2C64C28}] DATAGRAM 0 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{FC85C67E-5E2E-4D11-9227-C23B5DEBF3EB}] SEQPACKET 1 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{FC85C67E-5E2E-4D11-9227-C23B5DEBF3EB}] DATAGRAM 1 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{FF4D627D-6787-4DB7-8E71-EDFEFB0626B5}] SEQPACKET 2 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{FF4D627D-6787-4DB7-8E71-EDFEFB0626B5}] DATAGRAM 2 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{DA45C904-A064-4CE9-87AB-A0F2D536F3E3}] SEQPACKET 3 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{DA45C904-A064-4CE9-87AB-A0F2D536F3E3}] DATAGRAM 3 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{8CC8F65E-10F6-4A79-9C1B-7F8EAC8C9499}] SEQPACKET 4 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{8CC8F65E-10F6-4A79-9C1B-7F8EAC8C9499}] DATAGRAM 4 = C:\windows\SYSTEM32\MSWSOCK.DLL

系统服务项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Alerter = C:\windows\SYSTEM32\SVCHOST.EXE -K LOCALSERVICE
ALG = C:\windows\SYSTEM32\ALG.EXE
AppMgmt = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Ati HotKey Poller = C:\windows\SYSTEM32\ATI2EVXX.EXE
ATI Smart = C:\WINDOWS\SYSTEM32\ATI2SGAG.EXE
AudioSrv = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
BITS = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Browser = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
CiSvc = C:\windows\SYSTEM32\CISVC.EXE
ClipSrv = C:\windows\SYSTEM32\CLIPSRV.EXE
COMSysApp = C:\WINDOWS\SYSTEM32\DLLHOST.EXE /PROCESSID:{02D4B3F1-FD88-11D1-960D-00805FC79235}
CryptSvc = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Dhcp = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
dmadmin = C:\windows\SYSTEM32\DMADMIN.EXE /COM
dmserver = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Dnscache = C:\windows\SYSTEM32\SVCHOST.EXE -K NETWORKSERVICE
ERSvc = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Eventlog = C:\windows\SYSTEM32\SERVICES.EXE
EventSystem = C:\WINDOWS\SYSTEM32\SVCHOST.EXE -K NETSVCS
FastUserSwitchingCompatibility = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Framework = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
helpsvc = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
HidServ = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
ImapiService = C:\WINDOWS\SYSTEM32\IMAPI.EXE
kavsvc = "D:\安装程序\KASPERSKY ANTI-VIRUS PERSONAL PRO\KAVSVC.EXE"
lanmanserver = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
lanmanworkstation = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
LmHosts = C:\windows\SYSTEM32\SVCHOST.EXE -K LOCALSERVICE
Messenger = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
mnmsrvc = C:\WINDOWS\SYSTEM32\MNMSRVC.EXE
MSDTC = C:\WINDOWS\SYSTEM32\MSDTC.EXE
MSIServer = C:\WINDOWS\SYSTEM32\MSIEXEC.EXE /V
NetDDE = C:\windows\SYSTEM32\NETDDE.EXE
NetDDEdsdm = C:\windows\SYSTEM32\NETDDE.EXE
Netlogon = C:\windows\SYSTEM32\LSASS.EXE
Netman = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
NetSvc = C:\PROGRAM FILES\INTEL\NCS\SYNC\NETSVC.EXE
Nla = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
NtLmSsp = C:\windows\SYSTEM32\LSASS.EXE
NtmsSvc = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
O&O Defrag = C:\WINDOWS\SYSTEM32\OODAG.EXE
PlugPlay = C:\windows\SYSTEM32\SERVICES.EXE
PolicyAgent = C:\windows\SYSTEM32\LSASS.EXE
ProtectedStorage = C:\windows\SYSTEM32\LSASS.EXE
RasAuto = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
RasMan = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
RDSessMgr = C:\WINDOWS\SYSTEM32\SESSMGR.EXE
RemoteAccess = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
RemoteRegistry = C:\windows\SYSTEM32\SVCHOST.EXE -K LOCALSERVICE
RpcLocator = C:\windows\SYSTEM32\LOCATOR.EXE
RpcSs = C:\windows\SYSTEM32\SVCHOST -K RPCSS
RSVP = C:\windows\SYSTEM32\RSVP.EXE
SamSs = C:\windows\SYSTEM32\LSASS.EXE
SCardDrv = C:\windows\SYSTEM32\SCARDSVR.EXE
SCardSvr = C:\windows\SYSTEM32\SCARDSVR.EXE
Schedule = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
seclogon = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
SENS = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
SharedAccess = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
ShellHWDetection = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Spooler = C:\windows\SYSTEM32\SPOOLSV.EXE
srservice = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
SSDPSRV = C:\windows\SYSTEM32\SVCHOST.EXE -K LOCALSERVICE
stisvc = C:\windows\SYSTEM32\SVCHOST.EXE -K IMGSVC
SwPrv = C:\WINDOWS\SYSTEM32\DLLHOST.EXE /PROCESSID:{1C467598-DAF6-4705-AB19-3DF56B239C26}
SysmonLog = C:\windows\SYSTEM32\SMLOGSVC.EXE
TapiSrv = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
TermService = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Themes = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
TlntSvr = C:\WINDOWS\SYSTEM32\TLNTSVR.EXE
TrkWks = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
uploadmgr = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
upnphost = C:\windows\SYSTEM32\SVCHOST.EXE -K LOCALSERVICE
UPS = C:\windows\SYSTEM32\UPS.EXE
VSS = C:\windows\SYSTEM32\VSSVC.EXE
W32Time = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
WebClient = C:\windows\SYSTEM32\SVCHOST.EXE -K LOCALSERVICE
winmgmt = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
WmdmPmSN = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Wmi = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
WmiApSrv = C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE
wuauserv = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
WZCSVC = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS


文件驱动
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
MRxDAV = C:\windows\SYSTEM32\DRIVERS\MRXDAV.SYS
MRxSmb = C:\windows\SYSTEM32\DRIVERS\MRXSMB.SYS
Ndis5398 = C:\windows\SYSTEM32\DRIVERS\MS5398.SYS
Ndis5431 = C:\windows\SYSTEM32\DRIVERS\MS5431.SYS
NetBIOS = C:\windows\SYSTEM32\DRIVERS\NETBIOS.SYS
Rdbss = C:\windows\SYSTEM32\DRIVERS\RDBSS.SYS
sr = C:\windows\SYSTEM32\DRIVERS\SR.SYS
Srv = C:\windows\SYSTEM32\DRIVERS\SRV.SYS


系统驱动项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
ACPI = C:\windows\SYSTEM32\DRIVERS\ACPI.SYS
aec = C:\windows\SYSTEM32\DRIVERS\AEC.SYS
AFD = C:\windows\SYSTEM32\DRIVERS\AFD.SYS
agp440 = C:\windows\SYSTEM32\DRIVERS\AGP440.SYS
ALCXSENS = C:\windows\SYSTEM32\DRIVERS\ALCXSENS.SYS
ALCXWDM = C:\windows\SYSTEM32\DRIVERS\ALCXWDM.SYS
AsyncMac = C:\windows\SYSTEM32\DRIVERS\ASYNCMAC.SYS
atapi = C:\windows\SYSTEM32\DRIVERS\ATAPI.SYS
ati2mtag = C:\windows\SYSTEM32\DRIVERS\ATI2MTAG.SYS
Atmarpc = C:\windows\SYSTEM32\DRIVERS\ATMARPC.SYS
audstub = C:\windows\SYSTEM32\DRIVERS\AUDSTUB.SYS
Cdrom = C:\windows\SYSTEM32\DRIVERS\CDROM.SYS
Disk = C:\windows\SYSTEM32\DRIVERS\DISK.SYS
dmboot = C:\windows\SYSTEM32\DRIVERS\DMBOOT.SYS
dmio = C:\windows\SYSTEM32\DRIVERS\DMIO.SYS
dmload = C:\windows\SYSTEM32\DRIVERS\DMLOAD.SYS
DMusic = C:\windows\SYSTEM32\DRIVERS\DMUSIC.SYS
drmkaud = C:\windows\SYSTEM32\DRIVERS\DRMKAUD.SYS
E100B = C:\windows\SYSTEM32\DRIVERS\E100B325.SYS
Edspport = C:\windows\SYSTEM32\DRIVERS\ES56TPI.SYS
Fdc = C:\windows\SYSTEM32\DRIVERS\FDC.SYS
Flpydisk = C:\windows\SYSTEM32\DRIVERS\FLPYDISK.SYS
FsVga = C:\windows\SYSTEM32\DRIVERS\FSVGA.SYS
Ftdisk = C:\windows\SYSTEM32\DRIVERS\FTDISK.SYS
gameenum = C:\windows\SYSTEM32\DRIVERS\GAMEENUM.SYS
Gpc = C:\windows\SYSTEM32\DRIVERS\MSGPC.SYS
HWiNFO32 = D:\安装程序\REGISTER\HWINFO32.SYS
i8042prt = C:\windows\SYSTEM32\DRIVERS\I8042PRT.SYS
ids0004C = C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\KASPERSKY ANTI-VIRUS PERSONAL\5.0\BASES\IDS0004C.SYS
ids0005c = C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\KASPERSKY ANTI-VIRUS PERSONAL\5.0\BASES\IDS0005C.SYS
Imapi = C:\windows\SYSTEM32\DRIVERS\IMAPI.SYS
IntelIde = C:\windows\SYSTEM32\DRIVERS\INTELIDE.SYS
IpFilterDriver = C:\windows\SYSTEM32\DRIVERS\IPFLTDRV.SYS
IpInIp = C:\windows\SYSTEM32\DRIVERS\IPINIP.SYS
IpNat = C:\windows\SYSTEM32\DRIVERS\IPNAT.SYS
IPSec = C:\windows\SYSTEM32\DRIVERS\IPSEC.SYS
IRENUM = C:\windows\SYSTEM32\DRIVERS\IRENUM.SYS
isapnp = C:\windows\SYSTEM32\DRIVERS\ISAPNP.SYS
itchfltr = C:\windows\SYSTEM32\DRIVERS\ITCHFLTR.SYS
Kbdclass = C:\windows\SYSTEM32\DRIVERS\KBDCLASS.SYS
Kl1 = C:\windows\SYSTEM32\DRIVERS\KL1.SYS
Klif = C:\windows\SYSTEM32\DRIVERS\KLIF.SYS
Klmc = C:\windows\SYSTEM32\DRIVERS\KLMC.SYS
kmixer = C:\windows\SYSTEM32\DRIVERS\KMIXER.SYS
Mouclass = C:\windows\SYSTEM32\DRIVERS\MOUCLASS.SYS
MSKSSRV = C:\windows\SYSTEM32\DRIVERS\MSKSSRV.SYS
MSPCLOCK = C:\windows\SYSTEM32\DRIVERS\MSPCLOCK.SYS
MSPQM = C:\windows\SYSTEM32\DRIVERS\MSPQM.SYS
NdisTapi = C:\windows\SYSTEM32\DRIVERS\NDISTAPI.SYS
Ndisuio = C:\windows\SYSTEM32\DRIVERS\NDISUIO.SYS
NdisWan = C:\windows\SYSTEM32\DRIVERS\NDISWAN.SYS
NetBT = C:\windows\SYSTEM32\DRIVERS\NETBT.SYS
NPF = C:\windows\SYSTEM32\DRIVERS\NPF.SYS
npkcrypt = D:\安装程序\QQ\NPKCRYPT.SYS
nv = C:\windows\SYSTEM32\DRIVERS\NV4_MINI.SYS
NwlnkFlt = C:\windows\SYSTEM32\DRIVERS\NWLNKFLT.SYS
NwlnkFwd = C:\windows\SYSTEM32\DRIVERS\NWLNKFWD.SYS
P3 = C:\windows\SYSTEM32\DRIVERS\P3.SYS
Parport = C:\windows\SYSTEM32\DRIVERS\PARPORT.SYS
PCI = C:\windows\SYSTEM32\DRIVERS\PCI.SYS
PCIIde = C:\windows\SYSTEM32\DRIVERS\PCIIDE.SYS
PptpMiniport = C:\windows\SYSTEM32\DRIVERS\RASPPTP.SYS
Processor = C:\windows\SYSTEM32\DRIVERS\PROCESSR.SYS
PSched = C:\windows\SYSTEM32\DRIVERS\PSCHED.SYS
Ptilink = C:\windows\SYSTEM32\DRIVERS\PTILINK.SYS
RadProbe = C:\windows\SYSTEM32\DRIVERS\RADPROBE.SYS
RasAcd = C:\windows\SYSTEM32\DRIVERS\RASACD.SYS
Rasl2tp = C:\windows\SYSTEM32\DRIVERS\RASL2TP.SYS
RasPppoe = C:\windows\SYSTEM32\DRIVERS\RASPPPOE.SYS
Raspti = C:\windows\SYSTEM32\DRIVERS\RASPTI.SYS
RDPCDD = C:\windows\SYSTEM32\DRIVERS\RDPCDD.SYS
rdpdr = C:\windows\SYSTEM32\DRIVERS\RDPDR.SYS
redbook = C:\windows\SYSTEM32\DRIVERS\REDBOOK.SYS
Secdrv = C:\windows\SYSTEM32\DRIVERS\SECDRV.SYS
Sentinel = C:\windows\SYSTEM32\DRIVERS\SENTINEL.SYS
serenum = C:\windows\SYSTEM32\DRIVERS\SERENUM.SYS
Serial = C:\windows\SYSTEM32\DRIVERS\SERIAL.SYS
splitter = C:\windows\SYSTEM32\DRIVERS\SPLITTER.SYS
squell = C:\WINDOWS\SYSTEM32\VOOK.SYS
swenum = C:\windows\SYSTEM32\DRIVERS\SWENUM.SYS
swmidi = C:\windows\SYSTEM32\DRIVERS\SWMIDI.SYS
sysaudio = C:\windows\SYSTEM32\DRIVERS\SYSAUDIO.SYS
Tcpip = C:\windows\SYSTEM32\DRIVERS\TCPIP.SYS
TermDD = C:\windows\SYSTEM32\DRIVERS\TERMDD.SYS
TSP = C:\WINDOWS\SYSTEM32\DRIVERS\KLIF.SYS
Update = C:\windows\SYSTEM32\DRIVERS\UPDATE.SYS
usbehci = C:\windows\SYSTEM32\DRIVERS\USBEHCI.SYS
usbhub = C:\windows\SYSTEM32\DRIVERS\USBHUB.SYS
USBSTOR = C:\windows\SYSTEM32\DRIVERS\USBSTOR.SYS
usbuhci = C:\windows\SYSTEM32\DRIVERS\USBUHCI.SYS
VgaSave = C:\windows\SYSTEM32\DRIVERS\VGA.SYS
Wanarp = C:\windows\SYSTEM32\DRIVERS\WANARP.SYS
wdmaud = C:\windows\SYSTEM32\DRIVERS\WDMAUD.SYS
WS2IFSL = C:\windows\SYSTEM32\DRIVERS\WS2IFSL.SYS

[ 本帖最后由 beisijing 于 2006-6-8 01:56 AM 编辑 ]

beisijing

颜色是我添上去的，因为查出来时候颜色就不一样。
aua1我今天用卡巴直接删了下，我去注册表查了下没查到。可能过几天=它复发在说。
再问下ie管理加载项怎么进去？

[ 本帖最后由 beisijing 于 2006-6-8 02:06 AM 编辑 ]

6618

颜色是我添上去的，因为查出来时候颜色就不一样。

瑞星诊听器没疑项，那就先不管它。
aua1我今天用卡巴直接删了下，我去注册表查了下没查到。可能过几天=它复发在说。
再问下ie管理加载项怎么进去？
请看图：

beisijing

谢谢斑竹。瑞星诊听器没疑项是不是代表EXLPORER。EXE没有中毒？
_timer_ad_wnd_:Explorer.exe - 应用程序错误
"0x019689a2"指令引用的"0x019689a2"内存。该内存不能为"read"。

很奇怪的是我玩CS，魔兽等游戏时每一段时候都会跳出错误，但在玩魔兽世界用窗口化就不会有事。（好象全屏的都会出现错误，其他游戏窗口化会不会出现我没试过）
我在网上也查过EXPLORER。EXE出错误的原因，个人认为我最可能有2个
1：EXPLORER。EXE的内部错误
2；内存问题

6618

谢谢斑竹。瑞星诊听器没疑项是不是代表EXLPORER。EXE没有中毒？
_timer_ad_wnd_:Explorer.exe - 应用程序错误
"0x019689a2"指令引用的"0x019689a2"内存。该内存不能为"read"。
不用客气！瑞星诊听器没疑项不等于EXLPORER.EXE没有中毒！

很奇怪的是我玩CS，魔兽等游戏时每一段时候都会跳出错误，但在玩魔兽世界用窗口化就不会有事。（好象全屏的都会出现错误，其他游戏窗口化会不会出现我没试过）
我在网上也查过EXPLORER。EXE出错误的原因，个人认为我最可能有2个
1：EXPLORER。EXE的内部错误
2；内存问题
个人觉得这种情况多数是都是病毒造成，不关内存的事，朋友，请问你没中毒时玩这个游戏时会有这种错误提示吗？
这样吧，如果你不怕麻烦，用HIJACKTHIS扫描电脑，把日志传到这里来，HIJACKTHIS到这里下载。下面的链接的16楼下载：
http://bbs.wuyou.net/forum.php?m ... page%3D1&page=2

beisijing

Logfile of HijackThis v1.99.0
Scan saved at 1:54:46, on 2006-6-9
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\windows\System32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\System32\oodag.exe
C:\windows\explorer.exe
D:\安装程序\qq\QQ.exe
D:\安装程序\Maxthon\Maxthon.exe
D:\HIJACKTHIS1[1].990\HIJACKTHIS1.990\HIJACKTHIS.EXE

O2 - BHO: Ad Engine - {077FD0C3-1291-4104-A356-41E36B252682} - C:\Program Files\Yayad\AdCore.dll (file missing)
O3 - Toolbar: (no name) - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - (no file)
O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] "D:\安装程序\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\游戏\浩方\浩方对战平台\GameClient.exe
O16 - DPF: {C8BD9ACB-F7EC-48E6-BB2F-DAADC6789E9A} (Kingsoft DUBA OnlineScan) - http://211.152.52.102/duba/antiscan/update/OCX/KAVClean.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://C:\Herosoft\HeroV8\DVDSkin\defskin\HTML\swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CC8F65E-10F6-4A79-9C1B-7F8EAC8C9499}: NameServer =帮你编辑掉IP——6618
O17 - HKLM\System\CS1\Services\Tcpip\..\{8CC8F65E-10F6-4A79-9C1B-7F8EAC8C9499}: NameServer = O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - (no file)
O23 - Service: Ati HotKey Poller - Unknown - C:\windows\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\安装程序\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

[ 本帖最后由 6618 于 2006-6-9 10:59 AM 编辑 ]

beisijing

这是HIJACKTHIS的日志。我运行HIJACKTHIS时候HIJACKTHIS自己弹出错误（全是英文看不懂），不过确定后一样能查

6618

开机按F8到安全模式，用HJJACKTHIS扫描电脑，HIJACKTHIS出错也不用管它，把下面的项都勾上，直接用HIJACKTHIS修复，电脑会提示你重启，重启再进入安全模式，再扫，如还有下面的任何一项，再修复。
C:\WINDOWS\System32\oodag.exe
oodag.exe是磁盘碎整理程序，可以修掉，要整理时才打开整理，一直开着浪费资源。
O2 - BHO: Ad Engine - {077FD0C3-1291-4104-A356-41E36B252682} - C:\Program Files\Yayad\AdCore.dll (file missing)
O3 - Toolbar: (no name) - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - (no file)
O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O4 - HKLM\..\Run: [KAVPersonal50] "D:\安装程序\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
这是继3721后的256流氓软件，到安全模式下选中这一项，用HIJACK直接修复，重启后删掉该文件。O17 - HKLM\System\CS1\Services\Tcpip\..\{8CC8F65E-10F6-4A79-9C1B-7F8EAC8C9499}: NameServer = O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
stdup.dll是一个木马弹出广告的插件，到安全模式下选中这一项，用HIJACK直接修复，重启后删掉该文件。
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - (no file)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
oodag.exe是磁盘碎整理程序，这是它这服务，最好修掉，要整理时才打开整理，一直开着浪费资源。

[ 本帖最后由 6618 于 2006-6-9 11:52 AM 编辑 ]

6618

很奇怪的是我玩CS，魔兽等游戏时每一段时候都会跳出错误，但在玩魔兽世界用窗口化就不会有事。（好象全屏的都会出现错误，其他游戏窗口化会不会出现我没试过）
我在网上也查过EXPLORER。EXE出错误的原因，个人认为我最可能有2个
1：EXPLORER。EXE的内部错误
2；内存问题
朋友，请问你没中毒时玩这个游戏时会有这种错误提示吗？
朋友，请你回答这个问题，因为如果你没中毒时也会出错，就与病毒无关了。很可能是硬件配置的问题？

[ 本帖最后由 6618 于 2006-6-9 11:46 AM 编辑 ]

beisijing

以前没有过EXPLORER。EXE出现错误也是近2个星期的事情

6618

试试22楼的方法，把那些无用的项和带木马性质的流氓软件清了看还行不行。

beisijing

O3 - Toolbar: (no name) - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - (no file)
O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
注册表里面是不是也要删除？

6618

不用的，用HIJACKTHIS修复，就是在注册表中删除这些项。

beisijing

谢谢斑竹，问题解决了。刚刚玩了半小时CS没出现问题。
哈哈，真诚的感谢斑竹。

beisijing

还有其他问题我另开主题。嘿嘿

6618

原帖由 beisijing 于 2006-6-9 03:51 PM 发表
谢谢斑竹，问题解决了。刚刚玩了半小时CS没出现问题。
哈哈，真诚的感谢斑竹。

朋友，不用客气，能解决问题，主要是朋友你自己的努力，在此也感谢朋友你的回帖及反馈！