电脑一访问硬盘就出现病毒c:\\windows\\system32\\com\\smss.exe
发布网友
发布时间:2024-10-22 07:10
共5个回答
热心网友
时间:2024-10-22 13:59
(其实2000,xp都有smss.exe必须的进程,但是它的路径是c:\winnt\system32,看路径的工具可以用Process Explorer这个工具来看)
在D盘写一个autocommand.ini文件,可以删除,但是删除后又回自动生成。
一、恢复系统盘镜像后,进入系统。发现依然中毒
二查看注册表启动项目run有个加载项目tprogram=c:\windows\smss.exe,可以删除,启动后注册表又有这个!
二下载木马客星最新版本,安装完毕。木马克星不能启动。提示无法加载病毒库。
三换木马清道夫,安装后。也是无法启动,提示提示无法加载病毒库,因为c:\windows\smss.exe
四 安装nod32杀毒,启动提示无法扫描。
四进入安全模式。安装木马克星,问题依然。这个smss.exe依然存在。
五进入dos,删除smss.exe.重新启动后,病毒自动生成smss.exe.郁闷。
六、格式化重装系统,仍然有病毒!
七、DM删除分区后重新分区,格式化重装系统,病毒终于没有了!
在网上收集了以下有关该病毒的资料,提供于此,希望对各位防治该病毒有所帮助。
征途旗帜图标木马——SMSS.EXE
据说有新的“变态”木马,SMSS.EXE
主程序:%Windows%\SMSS.EXE
图标:征途旗帜图标
文件:
%Windows%\1.com
%Windows%\ExERoute.exe(EXE关联)
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif
创建的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改了EXE关联到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]
*掉对手:
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*
清除方法之一……
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。
4. 可以删除文件和启动项了……
删除的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为:
"Shell"="Explorer.exe"
删除的文件就是一开始说的那些,别删错就行。
5. 最后打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。
这些主要是在以下几个位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
smss.exe 专杀
http://www.baidu.com/s?tn=baidu&ct=0&ie=gb2312&bs=smss.exe&sr=&z=&cl=3&f=8&wd=smss.exe+%D7%A8%C9%B1
热心网友
时间:2024-10-22 13:52
我记得我的可以杀呀!
热心网友
时间:2024-10-22 13:53
进程名称:session manager subsystem
描述:smss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfiles\i386下面
出品者:microsoft corp.
属于:microsoft windows operating system
系统进程:是
后台进程:是
使用网络:否
硬件相关:否
常见错误:未知
内存使用:未知
安全等级:0
间谍软件:否
广告软件:否
病毒:否
木马:否
那就是个病毒,是说卡把嘶几删除不了,它无能为力了.要手动删除:1.进安全模式2.删除C:\MSCONFIG.SYS还有Windows文件夹里1.com//ExERoute.exe//explorer.com//
finder.com//smss.exe//Debug\DebugProgram.exe//command.pif//dxdiag.com//finder.com//MSCONFIG.COM//regedit.com//rundll32.com//Internet Explorer\iexplore.com//Common Files\iexplore.pif//
运行注册表,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
恢复病毒修改的注册表信息:
分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
在command模式下写入assoc .exe=exefile
修复exe关联,这样exe文件才可以打的开
用最新的咔吧六点零在杀一遍
只有用手一点一点的弄,别嫌麻烦,要不你重新装系统,很快,15分钟,现在网上就可以装
热心网友
时间:2024-10-22 13:59
(其实2000,xp都有smss.exe必须的进程,但是它的路径是c:\winnt\system32,看路径的工具可以用Process Explorer这个工具来看)
在D盘写一个autocommand.ini文件,可以删除,但是删除后又回自动生成。
一、恢复系统盘镜像后,进入系统。发现依然中毒
二查看注册表启动项目run有个加载项目tprogram=c:\windows\smss.exe,可以删除,启动后注册表又有这个!
二下载木马客星最新版本,安装完毕。木马克星不能启动。提示无法加载病毒库。
三换木马清道夫,安装后。也是无法启动,提示提示无法加载病毒库,因为c:\windows\smss.exe
四 安装nod32杀毒,启动提示无法扫描。
四进入安全模式。安装木马克星,问题依然。这个smss.exe依然存在。
五进入dos,删除smss.exe.重新启动后,病毒自动生成smss.exe.郁闷。
六、格式化重装系统,仍然有病毒!
七、DM删除分区后重新分区,格式化重装系统,病毒终于没有了!
在网上收集了以下有关该病毒的资料,提供于此,希望对各位防治该病毒有所帮助。
征途旗帜图标木马——SMSS.EXE
据说有新的“变态”木马,SMSS.EXE
主程序:%Windows%\SMSS.EXE
图标:征途旗帜图标
文件:
%Windows%\1.com
%Windows%\ExERoute.exe(EXE关联)
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif
创建的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改了EXE关联到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]
*掉对手:
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*
清除方法之一……
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。
4. 可以删除文件和启动项了……
删除的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为:
"Shell"="Explorer.exe"
删除的文件就是一开始说的那些,别删错就行。
5. 最后打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。
这些主要是在以下几个位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
热心网友
时间:2024-10-22 13:57
