MMSBho.MMSAssist

解决Albus.sys (MMS彩信通) 
 

(用98启动盘或ghost盘进入dos模式，进入c:\winnt\system32\drivers\目录下，删除Albus.sys文件)
 
进C:\Program Files\好像有MMSAssist,pcast,visual commucate。好多直接删。
结果，大多数文件夹就被我直接删了，可是那个MMSAssist就是删不掉，删了又马上重现。
进安全模式删，还是老样子。
查看Kaspersky的报告，发现也只有最近一天有相应的报告，可能这个病毒(流氓软件)就是24小时内中的吧。
于是打开C:\Windows\system32\看看日期比较近的，结果也没有，稍微远一点的，几天的倒是有几个，粗看了看都是没用的东西，就直接回收站，结果有3个文件删了之后重现，分别是almms.dat,alsmt.exe,albus.dat
看系统服务，多了stdservice和jmediaservice
于是上网找stdservice，结果找到一些资料
于是就把stdservice禁了，然后去安全模式删了
C:\WINDOWS\SYSTEM32\stdup.dll
C:\WINDOWS\SYSTEM32\std.ini
C:\WINDOWS\SYSTEM32\stdd.ini
再到注册表找到
HKLM\SYSTEM\CCS\Services\stdservices，删了
本来以为可以了，结果MMSAssist,almms.dat,alsmt.exe,albus.dat还在作怪
后来才明白，这就好比一个RPG游戏，你删掉的stdservices只是个小老板，还有大老板呢
这个时候是1点钟。
于是就开始研究jmediaservice，可惜上网查这个词竟然没有？于是立即意思到这可能是个最新的病毒(流氓软件)，看来只能自己摸索了
于是根据N久N久以前一个叫天缘人删除3721的办法，进一步C:\Windows\system32\drivers去找，发现有个日期为7.21和一个7.23的，7.23的一

下子就删除了，估计也许是个小兵小卒吧，但是7.21的Albus.sys就删完之后重现

于是上网找Albus.sys，结果找到篇资料上面写着比较完整的注册表键值，于是就进regedit去删。。。
天哪，这是我遇到过的最不可思议的情况，当企图删
HKEY_CLASSES_ROOT\clsid\{6671a431-5c3d-463d-a7cf-5587f9b7e191}\
HKEY_LOCAL_MACHINE\software\mmsassist\
等等键值时，直接导致regedit无响应
而每次删除Albus.sys,almms.dat,alsmt.exe,albus.dat，删完之后都会重现

a.进安全模式，情况相同。
b.于是编了个reg的批量处理式的文件，情况相同。
c.进带命令行的安全模式，情况相同。

于是我就因此折腾了两个小时，往往斩了个小兵小卒就再对上面abc各操作一次，还是失败，例如
1、在system32里找到一些可疑的.ini文件，删。
2、下载了“KillBadWare”，准备删除流氓软件。

后来使用KillBadWare的时候，发现系统蓝屏，原因是Albus.sys出现错误，哈哈，看来关键点就是它了，不可能再是别的了。
于是下定决心，终于找到了杀除Albus.sys(MMS彩信通)的办法了。

注：
KillBadWare下载地址为http://pcav.cn/Soft/ljqc/200608/432.html

注：目前这方法是针对WinXP系统，Win2k/NT中没有“Windows”文件夹，而是“WINNT”文件夹。Win98的注册表版本是4.00

仿照天缘删除3721的办法。

1、先将服务jmediaservice设为已禁用。(开始->运行->services.msc)

然后编辑注册表文件，放在C盘根目录下（也可以放在别的文件夹中，但最好别放在桌面或我的文档等专用文件夹上）。
打开记事本，输入内容如下：
Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\clsid\{6671a431-5c3d-463d-a7cf-5587f9b7e191}\]
[-HKEY_CLASSES_ROOT\clsid\{6671a432-5c3d-463d-a7cf-5587f9b7e191}\]
[-HKEY_CLASSES_ROOT\Interface\{74289A79-E652-4A57-A6B9-EE64AD532A8D}\]
[-HKEY_CLASSES_ROOT\Interface\{74289A7A-E652-4A57-A6B9-EE64AD532A8D}\]
[-HKEY_CLASSES_ROOT\typelib\{077525ac-c681-4139-8c3e-b582bdd375c7}\]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\ebrowser helper objects\{6671a431-5c3d-463d-a7cf-5587f9b7e191}\]
[-HKEY_LOCAL_MACHINE\software\mmsassist\]
[-HKEY_LOCAL_MACHINE\software\mmsassist "regup"]
[-HKEY_LOCAL_MACHINE\software\mmsassist "pid"]
[-HKEY_LOCAL_MACHINE\software\mmsassist "reg"]
[-HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{6671a433-5c3d-463d-a7cf-5587f9b7e191}\]
[-HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{6671a433-5c3d-463d-a7cf-5587f9b7e191} "ClsidExtension"]
[-HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{6671a433-5c3d-463d-a7cf-5587f9b7e191} "MenuText"]
[-HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{6671a433-5c3d-463d-a7cf-5587f9b7e191} "MenuStatusBar"]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search"SearchAssistant"]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search"CustomizeSearch"]
[-HKEY_CLASSES_ROOT\mmsbho.mmsassist\]
[-HKEY_CLASSES_ROOT\mmsbho.mmsassist.1\]
[-HKEY_CLASSES_ROOT\mmsbho.mmsassistmenu\]
[-HKEY_CLASSES_ROOT\mmsbho.mmsassistmenu.1\]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Vision Communicate\]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\JMediaService\]
[-HKEY_CURRENT_USER\software\microsoft\internet explorer\extensions\cmdmapping "{6671A433-5C3D-463d-A7CF-5587F9B7E191}"]

然后更改扩展名，例如保存为reg.reg

2、删除Albus.sys
将C:\windows\system32\drivers\ 文件夹复制一份，命名为drivers1，并把drivers1里的Albus.sys删除

进带命令行的安全模式，
输入N次
cd..  以退到c盘
然后
cd windows
cd system32
ren drivers drivers2
ren drivers2 drivers
于是我进drivers然后dir了一下发现albus.sys没了。。。
然后再退回到system32删另外几个文件
del almms.dat
del alsmt.exe
del albus.dat
再dir一下发现也消失了，看来有希望了。

3、运行注册表文件
你可以重新回到正常Windows，或在命令行中输入
taskmgr，然后在任务管理器打开运行窗口输入explorer以启动正常的安全模式
然后运行reg.reg

4、剩余处理
进正常Windows，发现任何之前删除的文件都未再出现。
流氓软件已经清除，现在只要扫掉点垃圾文件就可以了
现在只要把c:\windows\system32\drivers2 文件夹删除
把C:\program files\mmsassist 删除
运行一下KillBadWare清除流氓软件就可以了

到7月24日4点，终于将这个“毒瘤”彻底摘除了。

 
///////////
注意：以下步骤不一定都有 有的则执行 没有的则跳过
下列步骤必须在安全模式下进行 且必须按顺序进行
打开注册表 开始 运行 输入regedit
打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 删除vision
用Icesword
展开HKEY_CLASSES_ROOT\CLSID 删除{6671A431-5C3D-463d-A7CF-5587F9B7E191}目录
展开HKEY_CLASSES_ROOT分别删除MMSBho.MMSAssist，MMSBho.MMSAssist.1，MMSBho.MMSAssistMenu，MMSBho.MMSAssistMenu.1目录
展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings删除{6671A431-5C3D-463D-A7CF-5587F9B7E191}目录
展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats删除{6671A431-5C3D-463D-A7CF-5587F9B7E191}目录
展开HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 删除{6671A431-5C3D-463d-A7CF-5587F9B7E191}和{6671A432-5C3D-463d-A7CF-5587F9B7E191}目录
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects删除{6671A431-5C3D-463d-A7CF-5587F9B7E191}目录
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions 删除{6671A433-5C3D-463d-A7CF-5587F9B7E191}目录
展开HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt 删除>>彩信发送<<目录
删除如下文件 C:\Program Files\MMSAssist整个文件夹 和 C:\WINDOWS\system32\alsmt.exe
以上步骤仅供参考
///////////////