怎么用procexp查杀病毒SMSS.EXE
发布网友
发布时间:1小时前
共2个回答
热心网友
时间:1小时前
正常的smss.exe应在C:\Windows\system32\中。
你的机子症状是不是这样:
1、C:\Windows\system32\wbem\中有smss.exe文件,但不能删除。
2、有两个SMSS.exe进程,不能停止。
3、进安全模式,找不到C:\Windows\system32\wbem\,进程里只有一个SMSS.exe。
4、正常启动后,即使smss.exe已被删除,还是会被重新创建。
5、使用过程中smss.exe不停被调用,并且常常弹出些IE窗口。
如果是以上症状的话和我遇到是同样的问题。目前smss.exe可以想办法删除,使用ewido能杀掉。但问题是找不到是什么进程自动创建C:\Windows\system32\wbem\smss.exe,并不停调用,所以即使删除smss.exe也没用。关键能不能找到这个关键进程,我也请大虾们帮帮忙!!!
目前采用了一个流氓办法:先清除该文件,然后在安全模式下,在C:\Windows\system32\wbem\建立一个随便什么文件,将文件名改为smss.exe,属性只读隐藏。正常启动后,木马程序就再创建不起smss.exe文件,随后调用的也是我伪造的smss.exe文件(当然不能运行)。
PS:我创建的是文本文件,里面写了“我占了你的位置”...
SMSS.EXE:Session Manager Subsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可!
热心网友
时间:1小时前
procexp没有什么严格步骤。你下载汉化的。虽然很复杂但很容易懂的。
首先查注册表的可疑启动项,找到硬盘地址,删掉,在找与之关联的项,删掉,注销,在看是否有异常现象。下面地址有去掉驱动的例子,看看吧!
http://www.anqn.com/article/e/2006-04-17/a0979310.shtml
