bst365最新正规买球

百科 > IT百科 > 系统软件 > 杀毒软件 > 正文

SMSS病毒是什么

  SMSS病毒是一种Windows下的PE病毒,它采用VB6编写,是一个自动访问某站点(3721)的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在WINDOWS项中加入"RUN" = "%WINDIR%\SMSS.EXE"。症状:确定自己中招没就看看吧!如果系统进程中出现了2个smss.exe进程,而且其中的smss.exe路径是"WINDOWS\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒。

SMSS病毒是什么

SMSS分析与病毒判断

  正常SMSS.EXE(Session Manager Subsystem)进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是“%WINDIR%\SMSS.EXE”,那就可以肯定是中了病毒或木马了。[1]

SESS清除过程(和ROSE):

  ADOBER这2个小垃圾不一样,纯粹的清除其相关病毒文件,修改注册表,更改启动项是没用的,那时在浪费时间。所以说这个木马病毒比较高级,挺麻烦。

  步骤:手动杀毒的时候先把文件夹选项搞好了再进行清除操作,养成个好习惯。显示隐藏文件,把那个隐藏受保护的操作系统文件的勾点掉。

  第一步

  运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则"。这样smss.exe就不会再运行了。

  第二步

  运行Procexp.exe(没得话可以去下个,这个东东很叼,很好用),然后结束%Windows%\SMSS.EXE进程,注意路径。要是结束SYSTEM的SMSS会重启的,当然也可以用ntsd命令关掉任务管理器中的smss.exe进程。结束并防止其再次启动是SMSS.EXE病毒手动清除的关键,ROSE等直接可以结束其进程然后删文件改注册表就行了。如果不进行第一和第二步骤是不能清楚SMSS病毒的。

  第三步

  接下来删除下面这些文件: C:\MSCONFIG.SYS

  下面的文件名在注册表中也会出现,忘记是哪几个了,搜索下要么修改要么删除,呵呵,对了还有个WOW你在注册表中搜艘看是不是有好几个?

  %Windows%\1(是不是在你注册表中发现啊 哈哈知道怎么中的了吧)

  %Windows%\ExERoute.exe %Windows%\explorer %Windows%\finder

  %Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif

  %System%\dxdiag %System%\finder %System%\MSCONFIG

  %System%\regedit %System%\rundll32 %ProgramFiles%\Internet

  Explorer\iexplore %ProgramFiles%\Common Files\iexplore.pif %Program

  Files%\sfx software\svchost.exe 其它关联木马》木马路径:C:\WINDOWS\system32\cns.exe

  木马路径:C:\WINDOWS\system32\cns.dll 木马路径:C:\WINDOWS\system32\command.pif

  木马路径:C:\WINDOWS\system32\MSCONFIG 木马路径:C:\WINDOWS\system32\dxdiag

  木马路径:C:\WINDOWS\system32\regedit

  木马路径:C:\WINDOWS\system32\drivers\CnsMinKP.sys 然后到注册表中将下面的键值删除:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan

  Program"="%Windows%\smss.exe"

  (也可以直接搜索注册表的这样比较稳妥和全面一点)并修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]下

  "shell"="Explorer.exe 1" 为 "shell"="Explorer.exe"

  以下步骤可以不进行操作的,不过最好还是扫下吧:分别查找“command.pif”、“finder”、“rundll32”的信息,将“command.pif”、“finder”、“rundll32”修改为“rundll32.exe”

  查找“explorer”的信息,将“explorer”修改为“explorer.exe”

  查找“iexplore”的信息,将“iexplore”修改为“iexplore.exe”

  查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common

  Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”

  其中可能有几个找不到,没关系,找相同时间的文件出来删之(比如这一木马创立的时间是2006-6-18

  15:51你就搜索所有6-18创建的文件,当然,时间也要一致,可别删错了)如果没找到,那最好了,说明他已经不存在了。SMSS.EXE病毒相关文件大小全部一样为112K,反正我这里是这么大小,看网上其他人和我写的不一样。搞到这里你可以用些修复软件对系统进行下恢复,当然也可以不修复的。等等,接下来你不能运行EXE文件,你开个视频都要你打开方式的,好下面我们修改下注册表:不要在运行中输入东西打不开的。方法一:复制WINDOWS目录下的regedit.exe到桌面并改名为regedit,然后打开regedit,找到下列分支:HKEY_CLASSES_ROOT\exefile\shell\open\command,双击右侧窗口中的

  (默认) 值,设置为 "%1" %* [包含引号] 再找到: HKEY_CLASSES_ROOT\.exe 双击右侧窗口中的 (默认) 值,设置为

  exefile 然后退出注册表编辑器,重启电脑 方法二:复制WINDOWS\system32目录下的cmd.exe到桌面并改名为cmd

  命令行中,依次执行以下命令: ftype exefile="%1" %* [包含引号](回车) assoc .exe=exefile 重启电脑。

  至此SMSS.EXE病毒清除成功。

  编辑本段防范措施

前言

  防范措施:在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“这样就不会在感染木马了。这话纯属放P,SMSS病毒是利用IE漏洞传播,可能你随便开个网页都有可能中毒,防止这个病毒最好是下个补丁。

具体方法

  1、用杀病毒软件清除内存中的病毒进程 k4mm.exe svch0st_.exe qqwb.exe InternetExplorer.exe

  smss.exe

  2、搜索计算机中的k4mm.exe svch0st_.exe smss.exe qqwb.exe

  等病毒文件并手动删除,特别是K4MM.exe和smss.exe

  这两个文件,现在的杀毒软件还无法识别出是病毒,

  3、搜索注册表中键值为C:\winnt\smss.exe 的项,全部删除

  如果没有杀毒软件,就只好启动到安全模式下手动清除了。

  win2k和winxp用户:

  查找注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

  NT\CurrentVersion\Winlogon下的shell键值,修改为Explorer.exe

  win98和winme用户:

  查找system.ini,在system.ini中,查看以下内容:

  shell=Explorer.exe

  如果不是的,将其修改为以上内容

  另外也查找一下run、runservice键值,看有否相应的启动项

网友评论
聚超值
大家都在搜