《偷梁换柱》全世界最最简单对付SMSS。EXE病毒的方法,可能也是对付某类流氓程序的好方法...
找了些工具,删除了大部分的木马,最后发现吃我内存,耗费我时间的smss.exe还是存在。 HOHO。。没办法。。我才512M内存啊,他一小时就要吃我200M的内存。我不得不经常重新启动系统、注销系统来清理内存。
很多人说SMSS。EXE很狡猾,而且没有软件可以杀,都必须手动,太麻烦了,要改这么多注册表,我这么懒惰的人宁愿被木马强奸也不愿意改这么复杂的设置。但是我一定会更狡猾地吃掉木马。
我的系统是win 2003,体怔如下:
1)看不到隐藏文件,而木马是隐藏的
2)SMSS进程删除还会起来。
3)内存被吃了很多,有很多错误页面
4)在一些目录中有autorun文件,估计是用做触发功能的。
5)修改msconfig文件,总是会出现tProgram,和spoolsv.exe
我处理如下:
1)通过修改注册表的功能去显示隐藏的文件。操作失败。
2)删除smss.exe文件,被拒绝访问
3)删除autorun文件,一会之后马上自我复制
看来SMSS是我发现最为厉害的强奸犯。
仔细分析,发现SMSS这个病毒隐秘的地方就是自我复制做得很好。所以我想如果停止掉自我复制,那他就没法运行了。
于是我的方法是这样,肯定比别的朋友的方法更简单:
1)新建几个文本文件,分别把名字(包括扩展名)取为:smss.exe,autorun.inf,spoolsv.exe,内容都是空白的。
2。把这些文件分别拷贝到病毒文件所在的位置,一拷贝过去,马上把这个程序的操作权限进行修改.具体如下:
如我使用admin的用户进行操作,而smss。exe也是使用admin进行操作的。那我覆盖完利马把新的smss.exe的权限改成对所有的用户的拒绝。那这样smss.exe木马程序的位置被我的新的“木马”占用了,而且他也无法覆盖。所以真正的木马就失效了,强奸凡就这样被我阉割了。
主要文件的位置如下,遗漏的地方大家补充下:
a)smss.exe:
C:\WINDOWS
b)spoolsv.exe
C:\WINDOWS\system32\spoolsv
c)autorun.inf
d:\
我给这个方法取个名字叫:偷梁换柱。
网络上目前的对付SMSS还没有好的方法,我这个算是比较简单的,顺便呼吁下有认识杀毒软件公司的朋友可以把这个发给他们,让他们马上出个工具,虽然这个还不是很彻底,但是至少能防止木马。
举一反三,对付很多流氓软件都可以用这个方法。
转载于:https://www.cnblogs.com/fzuray/archive/2006/08/10/473241.html
《偷梁换柱》全世界最最简单对付SMSS。EXE病毒的方法,可能也是对付某类流氓程序的好方法...相关推荐
- 彻底清除SMSS.EXE病毒
概述: SMSS.EXE(Session Manager Subsystem),该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在 ...
- SMSS.EXE病毒处理
SMSS.EXE(Session Manager Subsystem),该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Window ...
- ntsd.exe病毒专杀--手工清除
今天总感觉电脑中毒了,因为任务管理器打不开了,还提示ntsd.exe应用程序错误,郁闷,赶紧下杀毒软件杀,杀--,我首先想到了卡巴,结果没用了,我又下了360安全卫士,还是没用,汗---杀毒软件都打不 ...
- 磁碟机变种简单分析(lsass.exe、smss.exe、dnsq.dll、NetApi000.sys)
from: http://bbs.xcdx169.net/redirect.php?tid=56034&goto=lastpost&sid=NrNn1c 磁碟机变种简单分析(lsass ...
- Arp病毒(motou.exe,smss.com,smss.exe)解决方案
smss.com,smss.exe 文件名称:motou.exe 文件大小:335106 byte AV命名: Win32.Hack.ChatARP.y.372212 金山 Dropper.Win32 ...
- CSDN贴子: rundl132.exe和logo1_.exe病毒如何清除
主 题: rundl132.exe和logo1_.exe病毒如何清除(急,谢谢!顶者有分) 作 者: ronaldo1983 (打光棍的和尚) Blog 等 级: 信 誉 值 ...
- Svchost.exe病毒
Svchost.exe是病毒的两种情况 1.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost. ...
- smss.exe之wom毒
文章类别 文章来源 文章标题 提交者 发布日期 点击数 原创天空 yude smss.exe之wom毒 yude 2006-5-22 3159 这是一个WOW木马,最近好像中招的人多起来了,这个小 ...
- 查杀新rundl132.exe病毒的过程
查杀新rundl132.exe病毒 的过程 一台机子突然不能接移动硬盘,症状是闪一下窗口,看不到移动硬盘盘符.经询问,昨天下载 了不少电影 和相关软件 .于是用 Hijackthis 扫描,日志如下: ...
最新文章
- Android OpenGL ES(十一)绘制一个20面体 .
- 「软件」2.0时代已经到来,你需要这样的开发工具
- Mono项目宣布将整合F#
- 如何把很多照片拼成一张照片_一张25GB的照片,到底比普通照片强在哪儿?
- sscom 中文显示 乱码_解决SSM框架使用过程中的中文乱码问题
- C4C和CRM里获取当前登录用户分配的Organization Unit信息
- leetcode 128最长连续序列
- [翻译] UIImageView-Letters
- C++数据结构——array、vector、链表
- Veeam ONE v10.0.2.1094 安装教程+许可证
- c++求数组中出现频率最高的数
- 父与子python下载不了_【求助】看父与子学习Python,里面有一个滑雪小游戏,加载不出图...
- 5.mybatis实战教程(mybatis in action)之五:与spring3集成(附源码)
- 金蝶盘点机PDA轻松扫码生产领料,生产型企业进销存条码管理软件
- 史上最全的工控类软件链接 快收藏备用吧
- 英语名词复数s的发音规则
- js实现——鼠标单击事件-onclick和双击事件-ondblclick
- 看日光穿过手指 享受芬芳的下午茶
- Linux使用双向链表实现图片、音乐、视频的切换和删除功能
- Python Web开发——Django框架学习