SMSS病毒是什麼

 　　SMSS病毒是一種Windows下的PE病毒，它采用VB6編寫，是一個自動訪問某站點(3721)的木馬病毒。該病毒會在注冊表中多處添加自己的啟動項，還會修改系統文件WIN.INI，並在WINDOWS項中加入"RUN" = "%WINDIR%SMSS.EXE"。症狀：確定自己中招沒就看看吧!如果系統進程中出現了2個smss.exe進程，而且其中的smss.exe路徑是"WINDOWSSMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒。

　　SMSS分析與病毒判斷

　　正常SMSS.EXE(Session Manager Subsystem)進程為會話管理子系統用以初始化系統變量，MS-DOS驅動名稱類似LPT1以及COM，調用Win32殼子系統和運行在Windows登陸過程。它是一個會話管理子系統，負責啟動用戶會話。這個進程是通過系統進程初始化的並且對許多活動的，包括已經正在運行的Winlogon，Win32(Csrss.exe)線程和設定的系統變量作出反映。在它啟動這些進程後，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統就關掉了。如果發生了什麼不可預料的事情，smss.exe就會讓系統停止響應(掛起)。要注意：如果系統中出現了不只一個smss.exe進程，而且有的smss.exe路徑是“%WINDIR%SMSS.EXE”，那就可以肯定是中了病毒或木馬了。[1]

　　SESS清除過程(和ROSE)：

　　ADOBER這2個小垃圾不一樣，純粹的清除其相關病毒文件，修改注冊表，更改啟動項是沒用的，那時在浪費時間。所以說這個木馬病毒比較高級，挺麻煩。

　　步驟：手動殺毒的時候先把文件夾選項搞好了再進行清除操作，養成個好習慣。顯示隱藏文件，把那個隱藏受保護的操作系統文件的勾點掉。

　　第一步

　　運行gpedit.msc打開組策略-計算機配置-Windows設置-安全設置-軟件限制策略-其它規則,在右邊窗口空白處右鍵選擇"新散列規則"。這樣smss.exe就不會再運行了。

　　第二步

　　運行Procexp.exe(沒得話可以去下個，這個東東很叼，很好用)，然後結束%Windows%SMSS.EXE進程，注意路徑。要是結束SYSTEM的SMSS會重啟的，當然也可以用ntsd命令關掉任務管理器中的smss.exe進程。結束並防止其再次啟動是SMSS.EXE病毒手動清除的關鍵，ROSE等直接可以結束其進程然後刪文件改注冊表就行了。如果不進行第一和第二步驟是不能清楚SMSS病毒的。

　　第三步

　　接下來刪除下面這些文件： C:MSCONFIG.SYS

　　下面的文件名在注冊表中也會出現，忘記是哪幾個了，搜索下要麼修改要麼刪除，呵呵，對了還有個WOW你在注冊表中搜艘看是不是有好幾個?

　　%Windows%1(是不是在你注冊表中發現啊 哈哈知道怎麼中的了吧)

　　%Windows%ExERoute.exe %Windows%explorer %Windows%finder

　　%Windows%smss.exe %Windows%DebugDebugProgram.exe %System%command.pif

　　%System%dxdiag %System%finder %System%MSCONFIG

　　%System%regedit %System%rundll32 %ProgramFiles%Internet

　　Exploreriexplore %ProgramFiles%Common Filesiexplore.pif %Program

　　Files%sfx softwaresvchost.exe 其它關聯木馬》木馬路徑：C:WINDOWSsystem32cns.exe

　　木馬路徑：C:WINDOWSsystem32cns.dll 木馬路徑：C:WINDOWSsystem32command.pif

　　木馬路徑：C:WINDOWSsystem32MSCONFIG 木馬路徑：C:WINDOWSsystem32dxdiag

　　木馬路徑：C:WINDOWSsystem32regedit

　　木馬路徑：C:WINDOWSsystem32driversCnsMinKP.sys 然後到注冊表中將下面的鍵值刪除:

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "Torjan

　　Program"="%Windows%smss.exe"

　　(也可以直接搜索注冊表的這樣比較穩妥和全面一點)並修改[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]下

　　"shell"="Explorer.exe 1" 為 "shell"="Explorer.exe"

　　以下步驟可以不進行操作的，不過最好還是掃下吧：分別查找“command.pif”、“finder”、“rundll32”的信息，將“command.pif”、“finder”、“rundll32”修改為“rundll32.exe”

　　查找“explorer”的信息，將“explorer”修改為“explorer.exe”

　　查找“iexplore”的信息，將“iexplore”修改為“iexplore.exe”

　　查找“iexplore.pif”的信息，將找到的“%ProgramFiles%Common

　　Filesiexplore.pif”修改為“%ProgramFiles%Internet Exploreriexplore.exe”

　　其中可能有幾個找不到，沒關系，找相同時間的文件出來刪之(比如這一木馬創立的時間是2006-6-18

　　15：51你就搜索所有6-18創建的文件，當然，時間也要一致，可別刪錯了)如果沒找到，那最好了，說明他已經不存在了。SMSS.EXE病毒相關文件大小全部一樣為112K，反正我這裡是這麼大小，看網上其他人和我寫的不一樣。搞到這裡你可以用些修復軟件對系統進行下恢復，當然也可以不修復的。等等，接下來你不能運行EXE文件，你開個視頻都要你打開方式的，好下面我們修改下注冊表：不要在運行中輸入東西打不開的。方法一：復制WINDOWS目錄下的regedit.exe到桌面並改名為regedit，然後打開regedit，找到下列分支：HKEY_CLASSES_ROOTexefileshellopencommand，雙擊右側窗口中的

　　(默認) 值，設置為 "%1" %* [包含引號] 再找到: HKEY_CLASSES_ROOT.exe 雙擊右側窗口中的 (默認) 值，設置為

　　exefile 然後退出注冊表編輯器，重啟電腦 方法二：復制WINDOWSsystem32目錄下的cmd.exe到桌面並改名為cmd

　　命令行中，依次執行以下命令： ftype exefile="%1" %* [包含引號](回車) assoc .exe=exefile 重啟電腦。

　　至此SMSS.EXE病毒清除成功。

　　編輯本段防范措施

　　前言

　　防范措施：在WINDOWS目錄下建立一個SMSS.EXE文件並設置為”只讀“這樣就不會在感染木馬了。這話純屬放P，SMSS病毒是利用IE漏洞傳播，可能你隨便開個網頁都有可能中毒，防止這個病毒最好是下個補丁。

　　具體方法

　　1、用殺病毒軟件清除內存中的病毒進程 k4mm.exe svch0st_.exe qqwb.exe InternetExplorer.exe

　　smss.exe

　　2、搜索計算機中的k4mm.exe svch0st_.exe smss.exe qqwb.exe

　　等病毒文件並手動刪除，特別是K4MM.exe和smss.exe

　　這兩個文件，現在的殺毒軟件還無法識別出是病毒，

　　3、搜索注冊表中鍵值為C:winntsmss.exe 的項，全部刪除

　　如果沒有殺毒軟件，就只好啟動到安全模式下手動清除了。

　　win2k和winxp用戶：

　　查找注冊表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

　　NTCurrentVersionWinlogon下的shell鍵值，修改為Explorer.exe

　　win98和winme用戶：

　　查找system.ini，在system.ini中，查看以下內容：

　　shell=Explorer.exe

　　如果不是的，將其修改為以上內容

　　另外也查找一下run、runservice鍵值，看有否相應的啟動項