smss.exe是什么進(jìn)程: 該進(jìn)程為會(huì)話管理子系統(tǒng)用以初始化系統(tǒng)變量，MS-DOS驅(qū)動(dòng)名稱類似LPT1以及COM，調(diào)用Win32殼子系統(tǒng)和運(yùn)行在Windows登陸過(guò)程。smss.exe是微軟windows操作系統(tǒng)的一部分。該進(jìn)程調(diào)用對(duì)話管理子系統(tǒng)和負(fù)責(zé)操作你系統(tǒng)的對(duì)話。這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常重要的。注意：smss.exe也可能是win32.ladex.a木馬。該木馬允許攻擊者訪問(wèn)你的計(jì)算機(jī)，竊取密碼和個(gè)人數(shù)據(jù)。請(qǐng)注意此進(jìn)程所在的文件夾，正常的進(jìn)程應(yīng)該是在windows的system32和servicepackfilesi386下面

　　smss.exe木馬病毒：QQ尾巴，Trojan/PSW.MiFeng蜜蜂大盜等木馬病毒。主要通過(guò)瀏覽惡意網(wǎng)頁(yè)傳播。該病毒修改注冊(cè)表創(chuàng)建Run/Tok-Cirrhatus項(xiàng)實(shí)現(xiàn)自啟動(dòng)。新變種也通過(guò)修改注冊(cè)表Winlogon項(xiàng)下的Userinit實(shí)現(xiàn)自啟動(dòng)，并將病毒模塊regsvr.dll，cn_spi.dll注入進(jìn)程運(yùn)行。
　　注意：smss.exe進(jìn)程屬于系統(tǒng)進(jìn)程，這里提到的木馬smss.exe是木馬偽裝成系統(tǒng)進(jìn)程
　　如果系統(tǒng)中出現(xiàn)了不只一個(gè)smss.exe進(jìn)程，而且有的smss.exe路徑是%WINDIR%SMSS.EXE，那就是中了TrojanClicker.Nogard.a病毒，這是一種Windows下的PE病毒，它采用VB6編寫(xiě) ，是一個(gè)自動(dòng)訪問(wèn)某站點(diǎn)的木馬病毒。該病毒會(huì)在注冊(cè)表中多處添加自己的啟動(dòng)項(xiàng)，還會(huì)修改系統(tǒng)文件WIN.INI，并在[WINDOWS]項(xiàng)中加入RUN = %WINDIR%SMSS.EXE。手工清除時(shí)請(qǐng)先結(jié)束病毒進(jìn)程smss.exe，再刪除%WINDIR%下的smss.exe文件，然后清除它在注冊(cè)表和WIN.INI文件中的相關(guān)項(xiàng)即可。

　　病毒smss在com里面的刪法
　　1。運(yùn)行g(shù)pedit.msc打開(kāi)組策略-計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-軟件限制策略-其它規(guī)則,在右邊窗口空白處右鍵選擇新散列規(guī)則
　　然后點(diǎn)擊瀏覽找到木馬文件c:windowssystemcomsmss.exe,lsass.exe安全級(jí)別選擇不允許的,
　　2。進(jìn)入安全模式
　　看看有沒(méi)那2個(gè)進(jìn)程。用戶名不是system.有的用ntsd –c q -p刪了
　　將c:windowssystemcomsmss.exe,lsass.exe文件2個(gè)刪了。和“開(kāi)始”菜單下的啟動(dòng)項(xiàng)的“~”，
　　用批處理文件將autorun.inf 和pagefile.pif刪了
　　@echo ===============================================
　　@echo Delete Trojan.PSW.Lmir.iux By o__4pollo
　　@echo ===============================================
　　@echo Start...
　　@echo ===============================================
　　@echo Execute ATTRIB...
　　@echo off
　　attrib -s -r -a -h d:pagefile.pif
　　attrib -s -r -a -h e:pagefile.pif
　　attrib -s -r -a -h f:pagefile.pif
　　attrib -s -r -a -h c:pagefile.pif
　　attrib -s -r -a -h c:autorun.inf
　　attrib -s -r -a -h d:autorun.inf
　　attrib -s -r -a -h e:autorun.inf
　　attrib -s -r -a -h f:autorun.inf
　　rem ===============================================
　　@echo Execute DELETE...
　　@echo off
　　del c:pagefile.pif
　　del d:pagefile.pif
　　del e:pagefile.pif
　　del f:pagefile.pif
　　del c:autorun.inf
　　del d:autorun.inf
　　del e:autorun.inf
　　del f:autorun.inf
　　@echo ===============================================
　　@echo End...
　　@echo ===============================================
　　運(yùn)行regedit搜索MountPoints2。將下面每一項(xiàng)下面的shellautorun刪了
　　病毒在注冊(cè)表RUN中沒(méi)啟動(dòng)項(xiàng)。不用改。
　　3。這個(gè)病毒感染系統(tǒng)盤(pán)外所有盤(pán)部分的.exe文件。有的不能用。刪了從下。有的向QQ、TTplayer點(diǎn)一次就好了。他會(huì)在com里重生成smss.不過(guò)他不能運(yùn)行。直接刪了
　　清除電腦中臨時(shí)文件。注意看看windows emp.

　　使用軟件完全清除smss病毒
　　1. 運(yùn)行Procexp.exe和SREng.exe
　　2. 用ProceXP結(jié)束%Windows%SMSS.EXE進(jìn)程，注意路徑和圖標(biāo)
　　3. 用SREng恢復(fù)EXE文件關(guān)聯(lián)（1,2,3步要注意順序，不要顛倒。）
　　4. 可以刪除文件和啟動(dòng)項(xiàng)了……
　?、俳Y(jié)束病毒的進(jìn)程%Windows%smss.exe（用進(jìn)程管理軟件可以結(jié)束，如：Process viewer）
　?、?刪除相關(guān)文件：
　　C:MSCONFIG.SYS
　　%Windows%1.com
　　%Windows%ExERoute.exe
　　%Windows%explorer.com
　　%Windows%finder.com
　　%Windows%smss.exe
　　%Windows%DebugDebugProgram.exe
　　%System%command.pif
　　%System%dxdiag.com
　　%System%finder.com
　　%System%MSCONFIG.COM
　　%System% egedit.com
　　%System% undll32.com
　　%ProgramFiles%Internet Exploreriexplore.com
　　%ProgramFiles%Common Filesiexplore.pif
　　③ 恢復(fù)EXE文件關(guān)聯(lián)
　　刪除[HKEY_CLASSES_ROOTwinfiles]項(xiàng)
　?、?刪除病毒啟動(dòng)項(xiàng)：
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
　　“Torjan Program”=“%Windows%smss.exe”
　　修改[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下
　　“shell”=“Explorer.exe 1”
　　為
　　“shell”=“Explorer.exe”
　?、?恢復(fù)病毒修改的注冊(cè)表信息：
　?。?）分別查找“command.pif”、“finder.com”、“rundll32.com”的信息，將“command.pif”、“finder.com”、“rundll32.com”修改為“rundll32.exe”
　?。?）查找“explorer.com”的信息，將“explorer.com”修改為“explorer.exe”
　?。?）查找“iexplore.com”的信息，將“iexplore.com”修改為“iexplore.exe”
　　（4）查找“iexplore.pif”的信息，將找到的“%ProgramFiles%Common Filesiexplore.pif”修改為“%ProgramFiles%Internet Exploreriexplore.exe”
　?、?在command模式下寫(xiě)入assoc .exe=exefile
　　修復(fù)exe關(guān)聯(lián)，這樣exe文件才可以打的開(kāi)
　　刪除的啟動(dòng)項(xiàng)：
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
　　“TProgram”=“%Windows%SMSS.EXE”
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]
　　“TProgram”=“%Windows%SMSS.EXE”
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
　　“Shell”=“Explorer.exe 1”
　　修改為：
　　“Shell”=“Explorer.exe”
　　刪除的文件就是一開(kāi)始說(shuō)的那些，別刪錯(cuò)就行
　　5. *打開(kāi)注冊(cè)表編輯器，恢復(fù)被修改的信息：
　　查找“explorer.com”，把找到的“explorer.com”修改為“explorer.exe”；
　　查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改為“rundll32.exe”；
　　查找“iexplore.com”，把找到的“iexplore.com”修改為“iexplore.exe”；
　　查找“iexplore.pif”，把找到的“iexplore.pif”，連同路徑一起修改為正常的IE路徑和文件名，比如“C:Program FilesInternet Exploreriexplore.exe”。（*易修網(wǎng)電腦維修）