此病毒发作后,会在系统目录,或system目录下生成一些常用运行命令的.com文件.

　　比如:正常的msconfig命令所启动的应该是msconfig.exe(扩展名为.exe),但由于系统启动软件的搜索顺序是.com,.exe,所以当病毒生成一个msconfig.com(注意,病毒生成的是.com,正确的是.exe),此病毒文件会先被执行,然后再由它来调用正确的.exe文件,当然,这个过程中它也顺便加载了smss.exe文件.

　　所以我们总会在运行一些常用命令后发现smss.exe又被加载了.

　　

　　下面为正确的查杀方法：

　　先到此网址下载System Repair Engineer软件，用来修正文件关联。

　　http://www.kztechs.com/sreng/download.html

　　1.先查找smss.exe文件,看看文件大小,还有创建日期.(我找到的大小是42KB)

2.杀掉进程中的SMSS.EXE以及LSASS.EXE进程 ,只能通过ntsd命令来杀掉他们的进程号格式如下:

ntsd -c -q -p PID号

　　3.然后查找比smss.exe大3K以下的所有*.exe,*.com文件.找到后先删除!一般会发现以下几个(我在文件名后给出正确的系统文件名,并加<括号指出与病毒文件不相同的地方):一般这些文件都是隐藏文件,需要在文件夹选项里面允许查看所有文件.

　　

c:\windows或者C:\windows\system32下的

1.com

　　ExERoute.exe

　　explorer.com

　　finder.com

　　smss.exe

　　DebugProgram.exe

　　

　　dxdiag.com

　　finder.com

　　MSCONFIG.COM

　　regedit.com

　　rundll32.com

　　

在c:\program files\internet explore\ 下的

inexplore.exe或 INTEXPLORE.com 或 iexplore.com 文件以及大小在42K的快捷方式

　　

在c:\program files\common files 下 删除iexplore和 intexplore的快捷方式.

　　这些文件一般大小也都和smss.exe一样大.除了ExERoute.exe是43KB外.

　　4.运行我们下载下来的程序,选择"系统修复",把文件关联修复.(如果你已经把上面的文件全删了,可能会出现无法打开.exe文件的提示,没关系,把下载的程序改名为.com就可以运行了)

　　5.显示所有隐藏文件夹和文件,对我的电脑点右键,用资源管理器打开我的电脑,在资源管理器的左框列表中打开盘符.(不要双击右框盘符来打开,这样会使病毒文件得以运行!)你会发现在C,D盘(最后查看所有盘根目录)的根目录下有两个文件:

　　autorun.inf

　　command.cmd另外还会在C盘根目录下有boot.htabootconf.exe

　　将其删除.

　　注意:这就是为什么有些朋友说此病毒重装后还会再感染的原因,它在其它盘符留下了这两个文件,当用户双击盘符时,病毒又开始悄悄运行了.

　　6.最后就是查找注册表,把smss.exe的所有项删除.把inexplore.exe项 intexplore.com改成iexplore.exe.

7.删除注册表启动项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"Torjan Program"="%Windows%\smss.exe"

　　 修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

　　

　　NT\CurrentVersion\Winlogon]下

"shell"="Explorer.exe 1"

　　为

　　"shell"="Explorer.exe"

　　8.重启电脑.一切已经恢复正常.