smss.exe是什么进程: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。smss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfilesi386下面
smss.exe木马病毒:QQ尾巴,Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动,并将病毒模块regsvr.dll,cn_spi.dll注入进程运行。
注意:smss.exe进程属于系统进程,这里提到的木马smss.exe是木马伪装成系统进程
如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是%WINDIR%SMSS.EXE,那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入RUN = %WINDIR%SMSS.EXE。手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可。
病毒smss在com里面的删法
1。运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择新散列规则
然后点击浏览找到木马文件c:windowssystemcomsmss.exe,lsass.exe安全级别选择不允许的,
2。进入安全模式
看看有没那2个进程。用户名不是system.有的用ntsd –c q -p删了
将c:windowssystemcomsmss.exe,lsass.exe文件2个删了。和“开始”菜单下的启动项的“~”,
用批处理文件将autorun.inf 和pagefile.pif删了
@echo ===============================================
@echo Delete Trojan.PSW.Lmir.iux By o__4pollo
@echo ===============================================
@echo Start...
@echo ===============================================
@echo Execute ATTRIB...
@echo off
attrib -s -r -a -h d:pagefile.pif
attrib -s -r -a -h e:pagefile.pif
attrib -s -r -a -h f:pagefile.pif
attrib -s -r -a -h c:pagefile.pif
attrib -s -r -a -h c:autorun.inf
attrib -s -r -a -h d:autorun.inf
attrib -s -r -a -h e:autorun.inf
attrib -s -r -a -h f:autorun.inf
rem ===============================================
@echo Execute DELETE...
@echo off
del c:pagefile.pif
del d:pagefile.pif
del e:pagefile.pif
del f:pagefile.pif
del c:autorun.inf
del d:autorun.inf
del e:autorun.inf
del f:autorun.inf
@echo ===============================================
@echo End...
@echo ===============================================
运行regedit搜索MountPoints2。将下面每一项下面的shellautorun删了
病毒在注册表RUN中没启动项。不用改。
3。这个病毒感染系统盘外所有盘部分的.exe文件。有的不能用。删了从下。有的向QQ、TTplayer点一次就好了。他会在com里重生成smss.不过他不能运行。直接删了
清除电脑中临时文件。注意看看windows emp.
使用软件完全清除smss病毒
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联(1,2,3步要注意顺序,不要颠倒。)
4. 可以删除文件和启动项了……
①结束病毒的进程%Windows%smss.exe(用进程管理软件可以结束,如:Process viewer)
② 删除相关文件:
C:MSCONFIG.SYS
%Windows%1.com
%Windows%ExERoute.exe
%Windows%explorer.com
%Windows%finder.com
%Windows%smss.exe
%Windows%DebugDebugProgram.exe
%System%command.pif
%System%dxdiag.com
%System%finder.com
%System%MSCONFIG.COM
%System%
egedit.com
%System%
undll32.com
%ProgramFiles%Internet Exploreriexplore.com
%ProgramFiles%Common Filesiexplore.pif
③ 恢复EXE文件关联
删除[HKEY_CLASSES_ROOTwinfiles]项
④ 删除病毒启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
“Torjan Program”=“%Windows%smss.exe”
修改[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下
“shell”=“Explorer.exe 1”
为
“shell”=“Explorer.exe”
⑤ 恢复病毒修改的注册表信息:
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%Common Filesiexplore.pif”修改为“%ProgramFiles%Internet Exploreriexplore.exe”
⑥ 在command模式下写入assoc .exe=exefile
修复exe关联,这样exe文件才可以打的开
删除的启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
“TProgram”=“%Windows%SMSS.EXE”
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]
“TProgram”=“%Windows%SMSS.EXE”
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
“Shell”=“Explorer.exe 1”
修改为:
“Shell”=“Explorer.exe”
删除的文件就是一开始说的那些,别删错就行
5. *打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:Program FilesInternet Exploreriexplore.exe”。(*易修网电脑维修)
