广东省交通厅田碧峰:中毒了，怎么办？

1.对于一开机就登录某些网站情况，一般是注册表的启动选项被加了一项，运行regedit命令，打开HKEY_LOCAL_MACHINE\software\Microsoft\windows\current version\run,这时在右边窗口看到的就是windows启动时加载的选项了，从数据中找到那个网址，按右键删除该键值，重新开机，一切就正常了。

2.对于一打开IE就上某些网站的情况，只要把"IE/Internet选项/主页"中的默认主页改回你想要的地址就行了，或者运行regedit命令，打开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main"Windows Title"，修改"start page"后的数据项也可以改变IE浏览器的默认主页。

去安全模式下杀个毒．．．然后去C:\WINDOWS\system32把SVCHOST删除

对于IE修改默认主页选项变灰同时注册表被锁定的情况，是最麻烦的，我们可以先为注册表解锁，再修改注册表解除默认主页设置的不可用。
为注册表解锁方法：
（1）点击"开始"菜单，从"程序" "附件"中找到"记事本"命令并执行；
（2）在记事本窗口中输入以下内容：
REGEDIT4
（这儿一定要空一行）
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableRegistryTools"=dword:00000000
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"=dword:00000000
（3）从"文件"菜单上选择"保存"命令，以"C:\unlock1.reg"名称存盘；
（4）双点"unlock1.reg"文件；
（5）这时系统弹出"是否确认要将 C:\ unlock1.reg 中的信息添加进注册表？"的对话框，点"是"。随后弹出对话框"C:\ unlock1.reg 里的信息已被成功地输入注册表",表明导入成功。点按"确定"关闭对话框，这时注册表就已被成功地解锁了
这样．．你的电脑应该恢复正常了．．．

删除不掉病毒程序的原因是程序驻留在系统内存中

只有系统不调用病毒程序即可删除

你可以开机时按F8进入安全模式去删除病毒文件

至于IE可以用瑞星卡卡助手将IE修复

瑞星卡卡在瑞星官方主页上有免费下载

最好在安全模式下用杀毒软件全面杀下毒

杀毒时间会比较长

一般要3小时以上

但要有耐心

毕竟自己的系统修复了才是最重要的

用超级兔子修复IE，我今天打开电脑也是，不过，是打不开网，后来修复了一下，就好了，

机器只要中毒，就会体现在系统的进程中，记录下这些可以的进程名字，查找所有程序并删除。然后再去注册表中，修改被病毒修改的键值，就一定可以将病毒清楚对于变种病毒需要进行多次反复操作，才能清除病毒。
现在就说说你的问题，
1，要查看一下被病毒修改的主业地址的多少，记录下来。
2，打开控制面板 Internet选项，在Internet选项 常规 中找到 cookies(I)和删除文件菜单，将IE的临时文件和所有的cookies删除。
3，在开始菜单中 运行中输入 regedit 打开注册表编辑器，查找注册表run下面的键值。打开注册编辑器，查找HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN选项，在右面空白出查找家在的www.999cha.com 选项并删除
4，在注册编辑表中，使用查找命令，查找www.999cha.com 键值并删除。从新查找整个注册表www.999cha.com 键值并删除，然后推出注册表编辑器。
有时间的话上www.txwb.com去看看就可以得到很多帮助的。

svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它.

Service Host Process是一个标准的动态连接库主机处理服务。Svchost.exe对那些从动态连接库（DLL）中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windows\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。Windows 2000一般有2个Svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个Svchost.exe；而在 windows XP中，则一般有4个以上的Svchost.exe服务进程；Windows 2003 server中则更多。Svchost.exe 是一个系统的核心进程，并不是病毒进程。但由于Svchost.exe进程的特殊性，所以病毒也会千方百计的入侵Svchost.exe。通过察看 Svchost.exe进程的执行路径可以确认是否中毒。如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索 Svchost.exe文件就可以发现异常情况。一般只会在C:\Windows\System32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。

smss.exe：Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应(挂起)。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"/WINDONS/SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "/WINDONS/SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDONS%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项.

症状:
1.任务管理器中2个smss.exe进程,一个是系统进程,另外一个用ntsd可以关掉,不过关掉后马上就再出现,文件在c:\windows,不把"显示系统文件"打开就看不到,经过HijackThis扫描修复不管用.直接删除无效,在安全模式删除也没用,用文件粉碎机删除也无效.会在注册表run项中自动加入,删除后马上又再出现.用木马杀客能发现木马,但清除后马上又出现了.
2.在D盘根目录下有2个文件,一个是autorun.ini,内容为
[autorun]
OPEN=D:\command.com
另一个就是command.com文件,与上面的smss.exe一样被伪装成系统文件.autorun.ini和command.com删除后很快就再出现.
3.用卡巴6.0.0.229扫描找不到,但网络监控一直报警,有一些1.com,1.exe之类的东西.
4.在任务管理器中经常会出一个IEXPLORE.EXE进程,有时候会出现2个,没有使用ie也会出现。

不多废话了,具体说下我的解决办法吧:
对于那个木马文件smss.exe,路径为c:\windows\,正常应该是c:\windows\system32,直接删除根本就没用,因为任务管理器里一直会有它的进程,用ntsd命令关掉后马上又出来了,后来得到龙卷风一位兄弟的方法搞定了,
具体步骤是:运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则"
[attachment=302384]
然后点击浏览找到木马文件,也就是c:\windows\smss.exe,安全级别选择"不允许的",
[attachment=302385]
这样smss.exe就不会再运行了,然后用ntsd命令关掉任务管理器中的smss.exe进程,记住,要关那个用户不是SYSTEM的.
这样就解决了smss.exe,这个也是很主要的,接下来删除下面这些文件（在这之前先去处文件的隐藏属性）:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
%Program Files%\sfx software\svchost.exe
其它关联木马》
木马路径：C:\WINDOWS\system32\cns.exe
木马路径：C:\WINDOWS\system32\cns.dll
木马路径：C:\WINDOWS\system32\command.pif
木马路径：C:\WINDOWS\system32\MSCONFIG.COM
木马路径：C:\WINDOWS\system32\dxdiag.com
木马路径：C:\WINDOWS\system32\regedit.com
木马路径：C:\WINDOWS\system32\drivers\CnsMinKP.sys
然后到注册表中将下面的键值删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"

把硬盘拆下，联到朋友家电脑用最近更新的杀毒软件杀一下毒