SiS001! Board - [第一会所关闭注册]

标题: [求助] 电脑里有smss.exe进程 [打印本页]

作者: zhonglele 时间: 2011-7-14 22:48 标题: 电脑里有smss.exe进程

电脑里有smss.exe进程，是什么东西啊？会不会是中毒了？

作者: tjhaojie 时间: 2011-7-14 22:58

要是只有一个smss.exe且用户名是system是正常的
要是有两个就该考虑是病毒了

作者: 默念那未来 时间: 2011-7-14 23:03

smss
  进程文件: smss or smss.exe
  进程名称: Session Manager Subsystem
  描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。smss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下面
  smss.exe
  描述：QQ尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动，并将病毒模块regsvr.dll，cn_spi.dll注入进程运行。
  出品者:microsoft corp.
  属于:microsoft windows operating system
  系统进程:是
  后台进程:是
  使用网络:否
  硬件相关:否
  常见错误:未知
  内存使用:未知
  安全等级:0
  间谍软件:否
  广告软件:否
  病毒:否
  木马:是
  注意：smss.exe进程属于系统进程，这里提到的木马smss.exe是木马伪装成系统进程
  如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。
  病毒smss在com里面的删法
  1。运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则"
  然后点击浏览找到木马文件c:\windows\system\com\smss.exe,lsass.exe安全级别选择"不允许的",
  2。进入安全模式
  看看有没那2个进程。用户名不是system.有的用ntsd –c q -p删了
  将c:\windows\system\com\smss.exe,lsass.exe文件2个删了。和“开始”菜单下的启动项的“~”，
  用批处理文件将autorun.inf 和pagefile.pif删了
  @echo ===============================================
  @echo Delete Trojan.PSW.Lmir.iux By o__4pollo
  @echo ===============================================
  @echo Start...
  @echo ===============================================
  @echo Execute ATTRIB...
  @echo off
  attrib -s -r -a -h d:\pagefile.pif
  attrib -s -r -a -h e:\pagefile.pif
  attrib -s -r -a -h f:\pagefile.pif
  attrib -s -r -a -h c:\pagefile.pif
  attrib -s -r -a -h c:\autorun.inf
  attrib -s -r -a -h d:\autorun.inf
  attrib -s -r -a -h e:\autorun.inf
  attrib -s -r -a -h f:\autorun.inf
  rem ===============================================
  @echo Execute DELETE...
  @echo off
  del c:\pagefile.pif
  del d:\pagefile.pif
  del e:\pagefile.pif
  del f:\pagefile.pif
  del c:\autorun.inf
  del d:\autorun.inf
  del e:\autorun.inf
  del f:\autorun.inf
  @echo ===============================================
  @echo End...
  @echo ===============================================
  运行regedit搜索MountPoints2。将下面每一项下面的shell\autorun删了
  病毒在注册表RUN中没启动项。不用改。
  3。这个病毒感染系统盘外所有盘部分的.exe文件。有的不能用。删了从下。有的向QQ、TTplayer点一次就好了。他会在com里重生成smss.不过他不能运行。直接删了
  清除电脑中临时文件。注意看看windows\temp.
  使用软件完全清除smss病毒
  1. 运行Procexp.exe和SREng.exe
  2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标
  3. 用SREng恢复EXE文件关联（1,2,3步要注意顺序，不要颠倒。）
  4. 可以删除文件和启动项了……
  ①结束病毒的进程%Windows%\smss.exe（用进程管理软件可以结束，如：Process viewer）
  ② 删除相关文件：
  C:\MSCONFIG.SYS
  %Windows%\1.com
  %Windows%\ExERoute.exe
  %Windows%\explorer.com
  %Windows%\finder.com
  %Windows%\smss.exe
  %Windows%\Debug\DebugProgram.exe
  %System%\command.pif
  %System%\dxdiag.com
  %System%\finder.com
  %System%\MSCONFIG.COM
  %System%\regedit.com
  %System%\rundll32.com
  %ProgramFiles%\Internet Explorer\iexplore.com
  %ProgramFiles%\Common Files\iexplore.pif
  ③ 恢复EXE文件关联
  删除[HKEY_CLASSES_ROOT\winfiles]项
  ④ 删除病毒启动项：
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  “Torjan Program”=“%Windows%\smss.exe”
  修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
  “shell”=“Explorer.exe 1”
  为
  “shell”=“Explorer.exe”
  ⑤ 恢复病毒修改的注册表信息：
  （1）分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
  （2）查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”
  （3）查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”
  （4）查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
  ⑥ 在command模式下写入assoc .exe=exefile
  修复exe关联，这样exe文件才可以打的开
  删除的启动项：
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  “TProgram”=“%Windows%\SMSS.EXE”
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
  “TProgram”=“%Windows%\SMSS.EXE”
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  “Shell”=“Explorer.exe 1”
  修改为：
  “Shell”=“Explorer.exe”
  删除的文件就是一开始说的那些，别删错就行
  5. 最后打开注册表编辑器，恢复被修改的信息：
  查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；
  查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；
  查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；
  查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”参考资料：自百科

作者: fuckmother 时间: 2011-7-14 23:13

每个系统都有这个进程的。。。别怕。不放心就去下个杀毒软件

作者: zool1234 时间: 2011-7-14 23:13

这个进程我的电脑里也有不少，不过也没觉得我的电脑中毒了

作者: 159482673 时间: 2011-7-15 00:11

汗我重做系统以前也有一堆当时用杀毒软件都杀不出来的

作者: 5652494 时间: 2011-7-15 00:14

我电脑里有一个估计也不是病毒很长时间了

作者: jrich 时间: 2011-7-15 02:49

看看是小写的还是对大写的，小写的是系统进程，大写的就是病毒。

作者: caoshichun2 时间: 2011-7-15 07:16

一个就是系统进程了，你电脑要是有2个或者系统不稳定特慢什么的考虑查杀病毒

作者: baowei0327 时间: 2011-7-15 07:22

这个应该没什么看其他进程吧或者下个杀毒然间沙沙

作者: wARtist 时间: 2011-7-15 07:56

回楼主
这个应该是系统进程，不排除是木马伪装的
只要看该进程的属性是SYSTEM还是用户就行了，是用户的话一定就是木马了，用任务管理器结束掉

作者: sung1997 时间: 2011-7-15 10:37 标题: 正常的系统文件呀！！

但是不排除有病毒劫持的可能，还是重装下电脑试一下！！

作者: feishefei 时间: 2011-7-15 11:52

未必就是正常程序，只要还有其他非正常的就是不正常的
这个程序作为病毒出现的话，一般还有另一个程序伴生

作者: kanakan 时间: 2011-7-15 11:56

smss.exe是很正常的进程吧，要是出现多个可能是中毒了

作者: tianyan1 时间: 2011-7-15 15:51

自己想你们多干什么啊，相信杀毒软件啊，自己多想也没什么用。

作者: lincongqq007 时间: 2011-7-15 16:35

每个系统都有的,平时只要不选"显示所有进程"是看不到的,能看到的话,很有可能是木马了

作者: wwaann 时间: 2011-7-15 19:57

该进程为会话管理子系统用以初始化系统变量，不要担心。

作者: surfingafish 时间: 2011-7-15 19:57

这是一个疑似木马程序，在任务列表里选中它，点右键，选择查看文件位置，如果文件在C:\Windows\System32下一般不是木马，如果在别处肯定是木马。

作者: qwerrewq122 时间: 2011-7-15 22:11

系统都有这个进程的小写的是系统进程，大写的就是病毒

作者: zmx1699 时间: 2011-7-15 22:26

电脑运行一切正常就不必太在意这些了.

作者: zysyy111 时间: 2011-7-15 22:28

3楼回复的相当专业的说，但是引用二楼的就够用了，应该是个比较让人放心的东东

作者: wu87782432 时间: 2011-7-15 23:13

一般这个一个系统进程没问题就看看是不是其他木马程序假装这进程

作者: stayou 时间: 2011-7-15 23:43

那你用电脑的时候有没有觉得卡，如果不卡就没什么问题，只是以前装软件留下来的垃圾而已，要解决也行的重新一下把

作者: xiaoaizizzw 时间: 2011-7-16 03:01

这是个系统进程啊都有的吧，可以用杀软先查杀一下病毒，一般系统进程里有这一项的。稳妥的方法就是先查杀，如果还是怀疑那就重装系统了

作者: fhy520123 时间: 2011-7-16 03:34

没事，是系统进程的！电脑里面都有的！

作者: psicq 时间: 2011-7-16 06:54

正常的进程，不用担心了，平时多杀毒就安全。

作者: syco 时间: 2011-7-16 10:21

我的進程裏也有，但是佔用內存在56K。應該不是病毒

作者: ww19092591 时间: 2011-7-17 01:53

我的电脑里面也有啊，好像没什么关系啊，只要你的在SYSTEM里面就没事啦

作者: paulo_hh 时间: 2011-7-17 07:20

引用:

原帖由 tjhaojie 于 2011-7-14 22:58 发表
要是只有一个smss.exe且用户名是system是正常的
要是有两个就该考虑是病毒了

我就觉得我的程序里一直有一个在运行，一看标题以为也中毒了，原来一个是正常的。

作者: 5680358 时间: 2011-7-17 10:54

刚接触电脑的时候也以为是病毒。后来才知道是进程。注意大小写。

作者: simao132657 时间: 2011-7-17 11:16

如果进程里只有一个很正常，是必须的，如果是两个，你看一下具体的路径。

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://67.220.91.29/luntan/)