中csrss.exe后

在System Repair Engineer日志中，可以发现

进程

c:windowssystem32inetsrvcsrss.exe

浏览器加载项

c:WINDOWSsystem32COMBoHEvent.dll

似乎没什么

实际上，并没有这么简单

在

c:WINDOWSsystem32

其中COMBoHEvent.dll，COMADEvent.dll异常顽固。可以说用尽所有工具与技巧都没有把这们删除。

解决的方法很简单

重启，开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示确定更改时，单击“是”，清除“隐藏已知文件类型的扩展名

直接删除

c:WINDOWSsystem32comadevent.dll

c:WINDOWSsystem32combohevent.dll

c:WINDOWSsystem32comevent.dat

cc:WINDOWSsystem32omeventhelpet.bat

c:WINDOWSsystem32comeventhelper.dll

c:WINDOWSsystem32comhelper.local

c:windowssystem32inetsrvcsrss.exe

c:windowssystem32inetsrvkbd101ab.dll

c:windowssystem32inetsrvsysoption.bin

c:windowssystem32inetsrvupdate整个文件夹

打开System Repair Engineer（也就是你的扫描日志软件SREng.exe），使用“系统修复，浏览器加载项”来删除以下选项。

c:WINDOWSsystem32COMBoHEvent.dll

重启便能解决问题

System Repair Engineer这个软件可以到http://www.pcav.cn/Soft/sdrj/ogher/200608/307.html下载。

这个病毒有点特殊，我在虚拟机上操作，在正常模式上修复多次，每重启一次，我的主系统上的天网防火墙就会发出警报。属于连续攻击的那种。

smss.exe删除方法

清除方法：

1. 运行Procexp.exe和SREng.exe

2. 用ProceXP结束%Windows%SMSS.EXE进程，注意路径和图标

3. 用SREng恢复EXE文件关联

1,2,3步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了……

要删除的清单请见: http://www.pxue.com/Html/736.html

删除的启动项：

Code:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"TProgram"="%Windows%SMSS.EXE"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]

"TProgram"="%Windows%SMSS.EXE"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

"Shell"="Explorer.exe 1"

修改为：

"Shell"="Explorer.exe"

删除的文件就是一开始说的那些，别删错就行

5. 最后打开注册表编辑器，恢复被修改的信息：

查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；

查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；

查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；

查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:Program FilesInternet Exploreriexplore.exe”。