大家好,小乐来为大家解答以上问题,smss.exe是什么程序,smss exe是什么进程很多人还不知道,现在让我们一起来看看吧!
SMSS病毒是Windows下的PE病毒。它是用VB6写的,是一种木马病毒,自动访问一个站点(3721)。该病毒会在注册表的几个地方添加自己的启动密钥,修改系统文件WIN。并添加' RUN'='%WINDIR%\SMSS。WINDOWS注册表项中的“EXE”文件。症状:确定没被骗就去检查一下!如果系统进程中有两个smss.exe进程,其中的smss.exe路径是“WINDOWS\SMSS”。然后是TrojanClicker。没有,病毒被感染了。
SMSS分析和病毒判断
正常的smss.exe(会话管理器子系统)进程是用于初始化系统变量的会话管理子系统。MS-DOS驱动的名字类似于LPT1和COM,调用Win32 shell子系统,运行在Windows登录进程中。它是一个会话管理子系统,负责启动用户会话。该进程由系统进程初始化并反映许多活动,包括已经运行的Winlogon、Win32(Csrss.exe)线程和set系统变量。启动这些进程后,它会等待Winlogon或Csrss完成。如果这些过程正常,系统将被关闭。如果发生意外,smss.exe会让系统停止响应(挂断)。注意:如果系统中有多个smss.exe进程,并且某些smss.exe路径是“%WINDIR%\SMSS”。EXE”,肯定是被病毒或者木马感染了。[1]
SESS清洁流程(和ROSE):
ADOBER,这两个小垃圾是不一样的。清理相关病毒文件,修改注册表,更改启动项都没用。那时候太浪费时间了。所以说这个木马病毒高级还是挺麻烦的。
步骤:手动查杀病毒时,清除前做好文件夹选项,养成好习惯。隐藏文件,并勾掉隐藏受保护的操作系统文件的钩。
第一步
运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其他规则,右键点击右边窗口空白处的‘新建哈希规则’。所以smss.exe不会再跑了。
第二步
跑Procexp.exe(如果没必要,可以去下一个。这个东西很别扭也很好用),然后结束%Windows%\SMSS。EXE进程,并注意路径。如果系统的SMSS完成,它将被重新启动。当然,您也可以使用ntsd命令在任务管理器中关闭smss.exe进程。结束并防止它再次开始是手动清理SMSS.EXE病毒的关键。ROSE和其他人可以结束它的进程,删除文件,改变注册表。如果不执行第一步和第二步,就无法识别SMSS病毒。
第三步
接下来,删除以下文件:C:\MSCONFIG。[计]系统复制命令(system的简写)
下列文件名也将出现在注册表中。我忘了是哪些了。如果您进行搜索,您可以修改或删除它们。呵呵,对了,还有一个哇。你搜索注册表看看有没有几个?
%Windows%\1(您在注册表中找到它了吗?哈哈,你知道怎么做吗?)
% Windows % \ exe route . exe % Windows % \ explorer % Windows % \ finder
% Windows % \ smss . exe % Windows % \ Debug \ Debug program . exe % System % \ command . pif
% System % \ dxdiag % System % \ finder % System % \ MSCONFIG
% System % \ regedit % System % \ rundll 32% program files % \ Internet
explorer \ ie xplore % Program Files % \ Common Files \ ie xplore . pif % Program
Files%\sfx software\svchost.exe其他关联木马木马路径:c : \ Windows \ system32 \ cns.exe
木马路径:c : \ windows \ system32 \ cns.dll木马路径:c : \ windows \ system32 \ command . pif
木马路径:c : \ WINDOWS \ system32 \ msconfig木马路径:C:\WINDOWS\system32\dxdiag
木马路径:c : \ windows \ system32 \ regedit
木马路径:c : \ windows \ system32 \ drivers \ cnsminkp . sys然后通过:删除注册表中的以下键值。
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Run]' Torjan
程序“=”% Windows % \ smss . exe
(也可以直接搜索注册表,更安全更全面)修改【HKEY _本地_
"shell"="Explorer.exe 1" 为 "shell"="Explorer.exe"
以下步骤可以不进行操作的,不过最好还是扫下吧:分别查找“command.pif”、“finder”、“rundll32”的信息,将“command.pif”、“finder”、“rundll32”修改为“rundll32.exe”
查找“explorer”的信息,将“explorer”修改为“explorer.exe”
查找“iexplore”的信息,将“iexplore”修改为“iexplore.exe”
查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common
Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
其中可能有几个找不到,没关系,找相同时间的文件出来删之(比如这一木马创立的时间是2006-6-18
15:51你就搜索所有6-18创建的文件,当然,时间也要一致,可别删错了)如果没找到,那最好了,说明他已经不存在了。SMSS.EXE病毒相关文件大小全部一样为112K,反正我这里是这么大小,看网上其他人和我写的不一样。搞到这里你可以用些修复软件对系统进行下恢复,当然也可以不修复的。等等,接下来你不能运行EXE文件,你开个视频都要你打开方式的,好下面我们修改下注册表:不要在运行中输入东西打不开的。方法一:复制WINDOWS目录下的regedit.exe到桌面并改名为regedit,然后打开regedit,找到下列分支:HKEY_CLASSES_ROOT\exefile\shell\open\command,双击右侧窗口中的
(默认) 值,设置为 "%1" %* [包含引号] 再找到: HKEY_CLASSES_ROOT\.exe 双击右侧窗口中的 (默认) 值,设置为
exefile 然后退出注册表编辑器,重启电脑 方法二:复制WINDOWS\system32目录下的cmd.exe到桌面并改名为cmd
命令行中,依次执行以下命令: ftype exefile="%1" %* [包含引号](回车) assoc .exe=exefile 重启电脑。
至此SMSS.EXE病毒清除成功。
编辑本段防范措施
前言
防范措施:在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“这样就不会在感染木马了。这话纯属放P,SMSS病毒是利用IE漏洞传播,可能你随便开个网页都有可能中毒,防止这个病毒最好是下个补丁。
具体方法
1、用杀病毒软件清除内存中的病毒进程 k4mm.exe svch0st_.exe qqwb.exe InternetExplorer.exe
smss.exe
2、搜索计算机中的k4mm.exe svch0st_.exe smss.exe qqwb.exe
等病毒文件并手动删除,特别是K4MM.exe和smss.exe
这两个文件,现在的杀毒软件还无法识别出是病毒,
3、搜索注册表中键值为C:\winnt\smss.exe 的项,全部删除
如果没有杀毒软件,就只好启动到安全模式下手动清除了。
win2k和winxp用户:
查找注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon下的shell键值,修改为Explorer.exe
win98和winme用户:
查找system.ini,在system.ini中,查看以下内容:
shell=Explorer.exe
如果不是的,将其修改为以上内容
另外也查找一下run、runservice键值,看有否相应的启动项
本文讲解到此结束,希望对大家有所帮助。