萬盛學電腦網

 萬盛學電腦網 >> 系統工具 >> SMSS病毒是什麼

SMSS病毒是什麼

   SMSS病毒是一種Windows下的PE病毒,它采用VB6編寫,是一個自動訪問某站點(3721)的木馬病毒。該病毒會在注冊表中多處添加自己的啟動項,還會修改系統文件WIN.INI,並在WINDOWS項中加入"RUN" = "%WINDIR%SMSS.EXE"。症狀:確定自己中招沒就看看吧!如果系統進程中出現了2個smss.exe進程,而且其中的smss.exe路徑是"WINDOWSSMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒。

SMSS病毒是什麼 三聯

  SMSS分析與病毒判斷

  正常SMSS.EXE(Session Manager Subsystem)進程為會話管理子系統用以初始化系統變量,MS-DOS驅動名稱類似LPT1以及COM,調用Win32殼子系統和運行在Windows登陸過程。它是一個會話管理子系統,負責啟動用戶會話。這個進程是通過系統進程初始化的並且對許多活動的,包括已經正在運行的Winlogon,Win32(Csrss.exe)線程和設定的系統變量作出反映。在它啟動這些進程後,它等待Winlogon或者Csrss結束。如果這些過程時正常的,系統就關掉了。如果發生了什麼不可預料的事情,smss.exe就會讓系統停止響應(掛起)。要注意:如果系統中出現了不只一個smss.exe進程,而且有的smss.exe路徑是“%WINDIR%SMSS.EXE”,那就可以肯定是中了病毒或木馬了。[1]

  SESS清除過程(和ROSE):

  ADOBER這2個小垃圾不一樣,純粹的清除其相關病毒文件,修改注冊表,更改啟動項是沒用的,那時在浪費時間。所以說這個木馬病毒比較高級,挺麻煩。

  步驟:手動殺毒的時候先把文件夾選項搞好了再進行清除操作,養成個好習慣。顯示隱藏文件,把那個隱藏受保護的操作系統文件的勾點掉。

  第一步

  運行gpedit.msc打開組策略-計算機配置-Windows設置-安全設置-軟件限制策略-其它規則,在右邊窗口空白處右鍵選擇"新散列規則"。這樣smss.exe就不會再運行了。

  第二步

  運行Procexp.exe(沒得話可以去下個,這個東東很叼,很好用),然後結束%Windows%SMSS.EXE進程,注意路徑。要是結束SYSTEM的SMSS會重啟的,當然也可以用ntsd命令關掉任務管理器中的smss.exe進程。結束並防止其再次啟動是SMSS.EXE病毒手動清除的關鍵,ROSE等直接可以結束其進程然後刪文件改注冊表就行了。如果不進行第一和第二步驟是不能清楚SMSS病毒的。

  第三步

  接下來刪除下面這些文件: C:MSCONFIG.SYS

  下面的文件名在注冊表中也會出現,忘記是哪幾個了,搜索下要麼修改要麼刪除,呵呵,對了還有個WOW你在注冊表中搜艘看是不是有好幾個?

  %Windows%1(是不是在你注冊表中發現啊 哈哈知道怎麼中的了吧)

  %Windows%ExERoute.exe %Windows%explorer %Windows%finder

  %Windows%smss.exe %Windows%DebugDebugProgram.exe %System%command.pif

  %System%dxdiag %System%finder %System%MSCONFIG

  %System%regedit %System%rundll32 %ProgramFiles%Internet

  Exploreriexplore %ProgramFiles%Common Filesiexplore.pif %Program

  Files%sfx softwaresvchost.exe 其它關聯木馬》木馬路徑:C:WINDOWSsystem32cns.exe

  木馬路徑:C:WINDOWSsystem32cns.dll 木馬路徑:C:WINDOWSsystem32command.pif

  木馬路徑:C:WINDOWSsystem32MSCONFIG 木馬路徑:C:WINDOWSsystem32dxdiag

  木馬路徑:C:WINDOWSsystem32regedit

  木馬路徑:C:WINDOWSsystem32driversCnsMinKP.sys 然後到注冊表中將下面的鍵值刪除:

  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "Torjan

  Program"="%Windows%smss.exe"

  (也可以直接搜索注冊表的這樣比較穩妥和全面一點)並修改[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]下

  "shell"="Explorer.exe 1" 為 "shell"="Explorer.exe"

  以下步驟可以不進行操作的,不過最好還是掃下吧:分別查找“command.pif”、“finder”、“rundll32”的信息,將“command.pif”、“finder”、“rundll32”修改為“rundll32.exe”

  查找“explorer”的信息,將“explorer”修改為“explorer.exe”

  查找“iexplore”的信息,將“iexplore”修改為“iexplore.exe”

  查找“iexplore.pif”的信息,將找到的“%ProgramFiles%Common

  Filesiexplore.pif”修改為“%ProgramFiles%Internet Exploreriexplore.exe”

  其中可能有幾個找不到,沒關系,找相同時間的文件出來刪之(比如這一木馬創立的時間是2006-6-18

  15:51你就搜索所有6-18創建的文件,當然,時間也要一致,可別刪錯了)如果沒找到,那最好了,說明他已經不存在了。SMSS.EXE病毒相關文件大小全部一樣為112K,反正我這裡是這麼大小,看網上其他人和我寫的不一樣。搞到這裡你可以用些修復軟件對系統進行下恢復,當然也可以不修復的。等等,接下來你不能運行EXE文件,你開個視頻都要你打開方式的,好下面我們修改下注冊表:不要在運行中輸入東西打不開的。方法一:復制WINDOWS目錄下的regedit.exe到桌面並改名為regedit,然後打開regedit,找到下列分支:HKEY_CLASSES_ROOTexefileshellopencommand,雙擊右側窗口中的

  (默認) 值,設置為 "%1" %* [包含引號] 再找到: HKEY_CLASSES_ROOT.exe 雙擊右側窗口中的 (默認) 值,設置為

  exefile 然後退出注冊表編輯器,重啟電腦 方法二:復制WINDOWSsystem32目錄下的cmd.exe到桌面並改名為cmd

  命令行中,依次執行以下命令: ftype exefile="%1" %* [包含引號](回車) assoc .exe=exefile 重啟電腦。

  至此SMSS.EXE病毒清除成功。

  編輯本段防范措施

  前言

  防范措施:在WINDOWS目錄下建立一個SMSS.EXE文件並設置為”只讀“這樣就不會在感染木馬了。這話純屬放P,SMSS病毒是利用IE漏洞傳播,可能你隨便開個網頁都有可能中毒,防止這個病毒最好是下個補丁。

  具體方法

  1、用殺病毒軟件清除內存中的病毒進程 k4mm.exe svch0st_.exe qqwb.exe InternetExplorer.exe

  smss.exe

  2、搜索計算機中的k4mm.exe svch0st_.exe smss.exe qqwb.exe

  等病毒文件並手動刪除,特別是K4MM.exe和smss.exe

  這兩個文件,現在的殺毒軟件還無法識別出是病毒,

  3、搜索注冊表中鍵值為C:winntsmss.exe 的項,全部刪除

  如果沒有殺毒軟件,就只好啟動到安全模式下手動清除了。

  win2k和winxp用戶:

  查找注冊表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

  NTCurrentVersionWinlogon下的shell鍵值,修改為Explorer.exe

  win98和winme用戶:

  查找system.ini,在system.ini中,查看以下內容:

  shell=Explorer.exe

  如果不是的,將其修改為以上內容

  另外也查找一下run、runservice鍵值,看有否相應的啟動項

copyright © 萬盛學電腦網 all rights reserved