孙越崎科技教育基金会:请问下这两个哪个是木马病毒?

来源:百度文库 编辑:神马品牌网 时间:2024/05/05 14:07:23
我中了个C://Windows.smss.exe的病毒,但是查了很多资料还是不明白SMSS.EXE和.smss.exe哪个是病毒?
我打开任务管理器发现两个都在运行,只是SMSS.EXE的用户名是SU而smss.exe用户名是SYSTEM,到底哪个是病毒,听说这种病毒会复制个相同文件的.
我都快被整头大了,麻烦大家再告诉我怎么才能彻底杀毒,我用了很多杀毒软件都没用杀不彻底,因为他我的游戏都不能玩了.郁闷呀

正常的smss.exe用户名是SYSTEM,属于系统进程,是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。

但是注意:smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
而木马进程的用户名一般是正在登陆的计算机用户名,请尽快禁止并删除该进程,否则你的游戏账号和密码可能被窃取。

杀得不彻底有几个原因,一个是程序在运行,需要把改进程关掉,在进行杀毒
另一个原因是,病毒不止依靠一个进程保证自己不被禁止,可能还会在其他程序种下木马,比如:在某些常用的程序种下。关掉以后再次运行该程序(尽管不是病毒但仍然再次启动病毒)
所以建议下一个新的杀毒软件后升级至最新病毒库(愿有可能已被传染,我就见过一例瑞星被种木马后废掉无法启动杀毒,但是一运行瑞星就等于启动木马),断网杀毒,当然在安全模式下杀毒更好

我找了些关于这个木马的手动删除资料

结束假的SMSS.EXE进程,注意用些工具如Procexp察看该进程路径
我不知道你的EXE文件会不会也打不开,也有问题,用Upiea之类工具恢复EXE文件关联

做完以上步骤,可以删除文件和启动项了……

删除的启动项:

Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为:
"Shell"="Explorer.exe"

删除的文件就是一开始说的那些,别删错就行

5. 最后打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。

比较麻烦,如果还不行,你发信息给我,我向你要这个病毒来亲身试下,看看怎么彻底清除

大写的是病毒

smss.exe只会在windows/system32目录下面,其它全部干掉

你"SMSS.EXE的用户名是SU"是病毒,而smss.exe用户名是SYSTEM是系统进程.

SMSS.EXE:
Session Manager Subsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可 。
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
进程类别:其他进程

smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。

此病毒可以用Ewido杀掉.

ewido v4.0这个是世界第一的防木马软件。许多木马克星和木马杀客查不出来的木马,它都能查出来。相比之下,就是占内存稍微多一些。可以在这里下载http://www.backchina.org/threads/200607/82/389692.shtml

这木马一定要在安全模式杀才有可能杀掉。

祝你好运!

请问下这两个哪个是木马病毒? 请问这是什么木马病毒 请问如何手动清除Trojan.DL.AdLoad.io和Trojan.DL.AdLoad.ip这两个木马病毒 请问这两个号码是哪个地方的? 请问这两个是哪个电视台的台标 这两个哪个是声卡? 请问这两个CPU哪个好? 请问这两个CPU哪个好? 请问,这两个CPU该买哪个? 怎么下栽木马病毒