smss 进程文件: smss or smss.exe 进程名称: Session Manager Subsystem 描述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。smss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfiles\i386下面 smss.exe 描述:QQ尾巴,Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注凳纳册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动,并将病毒模块regsvr.dll,cn_spi.dll注入进程运汪亩行。 出品者:microsoft corp. 属于:microsoft windows operating system 系统进程:是 后台进程:是 使用网络:否 硬件相关:否 常见错误:未知 内存使用:未知 安全等级:0 间谍软件:否 广告软件:否 病毒:否 木马:是 注意:smss.exe进程属于系统进程,这里提到的木马smss.exe是木马伪装成系统进程 如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒困粗森,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可。 病毒smss在com里面的删法 1。运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则" 然后点击浏览找到木马文件c:\windows\system\com\smss.exe,lsass.exe安全级别选择"不允许的", 2。进入安全模式 看看有没那2个进程。用户名不是system.有的用ntsd –c q -p删了 将c:\windows\system\com\smss.exe,lsass.exe文件2个删了。和“开始”菜单下的启动项的“~”, 用批处理文件将autorun.inf 和pagefile.pif删了 @echo =============================================== @echo Delete Trojan.PSW.Lmir.iux By o__4pollo @echo =============================================== @echo Start... @echo =============================================== @echo Execute ATTRIB... @echo off attrib -s -r -a -h d:\pagefile.pif attrib -s -r -a -h e:\pagefile.pif attrib -s -r -a -h f:\pagefile.pif attrib -s -r -a -h c:\pagefile.pif attrib -s -r -a -h c:\autorun.inf attrib -s -r -a -h d:\autorun.inf attrib -s -r -a -h e:\autorun.inf attrib -s -r -a -h f:\autorun.inf rem =============================================== @echo Execute DELETE... @echo off del c:\pagefile.pif del d:\pagefile.pif del e:\pagefile.pif del f:\pagefile.pif del c:\autorun.inf del d:\autorun.inf del e:\autorun.inf del f:\autorun.inf @echo =============================================== @echo End... @echo =============================================== 运行regedit搜索MountPoints2。将下面每一项下面的shell\autorun删了 病毒在注册表RUN中没启动项。不用改。 3。这个病毒感染系统盘外所有盘部分的.exe文件。有的不能用。删了从下。有的向QQ、TTplayer点一次就好了。他会在com里重生成smss.不过他不能运行。直接删了 清除电脑中临时文件。注意看看windows\temp. 使用软件完全清除smss病毒 1. 运行Procexp.exe和SREng.exe 2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标 3. 用SREng恢复EXE文件关联(1,2,3步要注意顺序,不要颠倒。) 4. 可以删除文件和启动项了…… ①结束病毒的进程%Windows%\smss.exe(用进程管理软件可以结束,如:Process viewer) ② 删除相关文件: C:\MSCONFIG.SYS %Windows%\1.com %Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif ③ 恢复EXE文件关联 删除[HKEY_CLASSES_ROOT\winfiles]项 ④ 删除病毒启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Torjan Program”=“%Windows%\smss.exe” 修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下 “shell”=“Explorer.exe 1” 为 “shell”=“Explorer.exe” ⑤ 恢复病毒修改的注册表信息: (1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe” (2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe” (3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe” (4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe” ⑥ 在command模式下写入assoc .exe=exefile 修复exe关联,这样exe文件才可以打的开 删除的启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “TProgram”=“%Windows%\SMSS.EXE” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] “TProgram”=“%Windows%\SMSS.EXE” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=“Explorer.exe 1” 修改为: “Shell”=“Explorer.exe” 删除的文件就是一开始说的那些,别删错就行 5. 最后打开注册表编辑器,恢复被修改的信息: 查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”; 查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”; 查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”; 查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”
相关文章
-
SMSS.exe 是什么?
2023-05-26 09:55 阅读(615) -
进程间通信方式有哪些?各自有哪些优缺点
2023-05-25 15:42 阅读(555) -
executeupdate和execute的区别
2023-05-14 18:59 阅读(580)
1 EXEO注册过商标吗?还有哪些分类可以注册?
644 阅读
2 exercise怎么读?
583 阅读
3 进程项 System Idle Process 是什么东西?
648 阅读
4 exec是什么意思?
585 阅读
5 exercise是什么意思中文
878 阅读