SMSS.EXE病毒处理
SMSS.EXE(Session Manager Subsystem),该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%/SMSS.EXE", 那就可以肯定是中了病毒或木马了。
清除方法:
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%/SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。
4. 可以删除文件和启动项了……
要删除的清单请见: http://www.pxue.com/Html/736.html
删除的启动项:
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
修改为:
"Shell"="Explorer.exe"
删除的文件就是一开始说的那些,别删错就行
5. 最后打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:/Program Files/Internet Explorer/iexplore.exe”。
关于SMSS.EXE进程的描述:
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
进程类别:其他进程
英文描述:
中文参考:
1. 结束病毒的进程%Windows%/smss.exe(用进程管理软件可以结束,如:Process viewer)
2. 删除相关文件:
C:/MSCONFIG.SYS
%Windows%/1.com
%Windows%/ExERoute.exe
%Windows%/explorer.com
%Windows%/finder.com
%Windows%/smss.exe
%Windows%/Debug/DebugProgram.exe
%System%/command.pif
%System%/dxdiag.com
%System%/finder.com
%System%/MSCONFIG.COM
%System%/regedit.com
%System%/rundll32.com
%ProgramFiles%/Internet Explorer/iexplore.com
%ProgramFiles%/Common Files/iexplore.pif
3. 恢复EXE文件关联
删除[HKEY_CLASSES_ROOT/winfiles]项
4. 删除病毒启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Torjan Program"="%Windows%/smss.exe"
修改[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
5. 恢复病毒修改的注册表信息:
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%/Common Files/iexplore.pif”修改为“%ProgramFiles%/Internet Explorer/iexplore.exe”
6 在command模式下写入assoc .exe=exefile
修复exe关联,这样exe文件才可以打的开
SMSS.EXE病毒处理相关推荐
- 彻底清除SMSS.EXE病毒
概述: SMSS.EXE(Session Manager Subsystem),该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在 ...
- 《偷梁换柱》全世界最最简单对付SMSS。EXE病毒的方法,可能也是对付某类流氓程序的好方法...
这段时间感染了SMSS.EXE,还有其他很多木马, 找了些工具,删除了大部分的木马,最后发现吃我内存,耗费我时间的smss.exe还是存在. HOHO..没办法..我才512M内存啊,他一小时就要吃我 ...
- Arp病毒(motou.exe,smss.com,smss.exe)解决方案
smss.com,smss.exe 文件名称:motou.exe 文件大小:335106 byte AV命名: Win32.Hack.ChatARP.y.372212 金山 Dropper.Win32 ...
- 磁碟机变种简单分析(lsass.exe、smss.exe、dnsq.dll、NetApi000.sys)
from: http://bbs.xcdx169.net/redirect.php?tid=56034&goto=lastpost&sid=NrNn1c 磁碟机变种简单分析(lsass ...
- smss.exe之wom毒
文章类别 文章来源 文章标题 提交者 发布日期 点击数 原创天空 yude smss.exe之wom毒 yude 2006-5-22 3159 这是一个WOW木马,最近好像中招的人多起来了,这个小 ...
- 查杀新rundl132.exe病毒的过程
查杀新rundl132.exe病毒 的过程 一台机子突然不能接移动硬盘,症状是闪一下窗口,看不到移动硬盘盘符.经询问,昨天下载 了不少电影 和相关软件 .于是用 Hijackthis 扫描,日志如下: ...
- CSDN贴子: rundl132.exe和logo1_.exe病毒如何清除
主 题: rundl132.exe和logo1_.exe病毒如何清除(急,谢谢!顶者有分) 作 者: ronaldo1983 (打光棍的和尚) Blog 等 级: 信 誉 值 ...
- 最新征途木马专杀工具-------------------------SMSS.exe
SMSS病毒介绍:这是一种Windows下的PE病毒,它采用VB6编写 ,是一个能够破坏IE和EXPLORER的征途木马病毒变种.该病毒会在注册表中多处添加自己的启动项,还会修改系统文件,并在[WIN ...
- 恶意程序smss.exe查杀(zz)
1.灭掉进程smss.exe--◎用户◎(使用工具Process和SREng) 2. 删除相关文件: C:/MSCONFIG.SYS %Windows%/1.com %Windows%/ExERout ...
最新文章
- Android 自定义 —— View lineTo 与 rLineTo 的区别
- desc mysql 连表查询_Mysql连表查询
- Binder相关面试总结(三):Binder机制是如何跨进程的
- POJ 1470 Closest Common Ancestors (最近公共祖先LCA 的离线算法Tarjan)
- 走过13,展望14----希望是个好东西
- 用lucene实现在一个(或者多个)字段中查找多个关键字
- [LeetCode] Generate Parentheses
- oracle 拆分逗号转行_一个列用逗号隔开,列转行,看看是否有更好的办法。
- mysql memcached 使用场景_memcache 应用场景
- Python获得一篇文档的不重复词列表并创建词向量
- 避免服务器成为肉鸡的应对措施
- 在Access数据库中使用SQL查询分析器
- 深度可分离卷积vs标准卷积
- wifi android kernel,android wifi 驱动框架简介
- c# 如何打印条形码
- 京东首页静态页面html+css
- cdr 表格自动填充文字_CDR小工具YG插件,从此提升工作效率!
- nginx 的超时设置
- 8.dfs--王子救公主(遍历迷宫,王子和公主访问过同一位置,即成功救公主)
- 【039期】头条面试:说一说 LRU 原理和 Redis 如何实现?