判斷進程是否感染病毒和殺毒技巧

　　SMSS.EXE進程是通過系統進程初始化的並且對許多活動的，包括已經正在運行的Winlogon，Win32(Csrss.exe)線程和設定的 系統變量作出反映。在它啟動這些進程後，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統就關掉了。如果發生了什麼不可預料的事 情，smss.exe就會讓系統停止響應(掛起)。要注意：如果系統中出現了不只一個smss.exe進程，而且有的smss.exe路徑是 “%WINDIR%SMSS.EXE”，那就可以肯定是中了病毒或木馬了。 　　

　　清除方法： 　　

　　1. 運行Procexp.exe和SREng.exe 　　

　　2. 用ProceXP結束%Windows%SMSS.EXE進程，注意路徑和圖標 　　

　　3. 用SREng恢復EXE文件關聯(1,2,3步要注意順序，不要顛倒。) 　　

　　4. 可以刪除文件和啟動項了…… 　　

　　①結束病毒的進程%Windows%smss.exe(用進程管理軟件可以結束，如：Process viewer) 　　

　　② 刪除相關文件： 　　

　　C:MSCONFIG.SYS 　　

　　%Windows%.com

　　%Windows%ExERoute.exe 　　

　　%Windows%explorer.com 　　

　　%Windows%finder.com 　　

　　%Windows%smss.exe 　　

　　%Windows%DebugDebugProgram.exe 　　

　　%System%command.pif 　　

　　%System%dxdiag.com 　　

　　%System%finder.com 　　

　　%System%MSCONFIG.COM 　　

　　%System%regedit.com 　　

　　%System%rundll32.com 　

　　%ProgramFiles%Internet Exploreriexplore.com 　　

　　%ProgramFiles%Common Filesiexplore.pif 　　

　　③ 恢復EXE文件關聯 　　

　　刪除[HKEY_CLASSES_ROOTwinfiles]項 　　

　　④ 刪除病毒啟動項： 　　

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] 　　

　　“Torjan Program”=“%Windows%smss.exe” 　　

　　修改[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下 　　

　　“shell”=“Explorer.exe 1”

　　為 　　

　　“shell”=“Explorer.exe” 　　

　　⑤ 恢復病毒修改的注冊表信息：
　　
　　(1)分別查找“command.pif”、“finder.com”、“rundll32.com”的信息，將“command.pif”、“finder.com”、“rundll32.com”修改為“rundll32.exe” 　　

　　(2)查找“explorer.com”的信息，將“explorer.com”修改為“explorer.exe” 　　

　　(3)查找“iexplore.com”的信息，將“iexplore.com”修改為“iexplore.exe”
　　

　　(4)查找“iexplore.pif”的信息，將找到的“%ProgramFiles%Common Filesiexplore.pif”修改為“%ProgramFiles%Internet Exploreriexplore.exe” 　　

　　⑥ 在command模式下寫入assoc .exe=exefile 　　

　　修復exe關聯，這樣exe文件才可以打的開
　　
　　刪除的啟動項： 　　

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] 　　

　　“TProgram”=“%Windows%SMSS.EXE” 　　

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices] 　　

　　“TProgram”=“%Windows%SMSS.EXE” 　　

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] 　　

　　“Shell”=“Explorer.exe 1” 　　

　　修改為： 　　

　　“Shell”=“Explorer.exe”

　　刪除的文件就是一開始說的那些，別刪錯就行 　　


　　5. 最後打開注冊表編輯器，恢復被修改的信息： 　　

　　查找“explorer.com”，把找到的“explorer.com”修改為“explorer.exe”; 　　

　　查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改為“rundll32.exe”; 　　

　　查找“iexplore.com”，把找到的“iexplore.com”修改為“iexplore.exe”; 　　

　　查找“iexplore.pif”，把找到的“iexplore.pif”，連同路徑一起修改為正常的IE路徑和文件名，比如“C:Program FilesInternet Exploreriexplore.exe”。