SMSS病毒

正常SMSS.EXE（Session Manager Subsystem）進程為會話管理子系統用以初始化系統變數，MS-DOS驅動名稱類似LPT1以及COM，調用Win32殼子系統和運行在Windows登入過程。它是一個會話管理子系統，負責啟動用戶會話。這個進程是通過系統進程初始化的並且對許多活動的，包括已經正在運行的Winlogon，Win32（Csrss.exe）執行緒和設定的系統變數作出反映。在它啟動這些進程後，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統就關掉了。如果發生了什麼不可預料的事情，smss.exe就會讓系統停止回響（掛起）。要注意：如果系統中出現了不只一個smss.exe進程，而且有的smss.exe路徑是“%WINDIR%\SMSS.EXE”，那就可以肯定是中了病毒或木馬了。

ADOBER這2個小垃圾不一樣，純粹的清除其相關病毒檔案，修改註冊表，更改啟動項是沒用的，那時在浪費時間。所以說這個木馬病毒比較高級，挺麻煩。

步驟：手動防毒的時候先把資料夾選項搞好了再進行清除操作，養成個好習慣。顯示隱藏檔案，把那個隱藏受保護的作業系統檔案的勾點掉。

運行gpedit.msc打開組策略-計算機配置-Windows設定-安全設定-軟體限制策略-其它規則,在右邊視窗空白處右鍵選擇"新散列規則"。這樣smss.exe就不會再運行了。

運行Procexp.exe（沒得話可以去下個，這個東東很叼，很好用），然後結束%Windows%\SMSS.EXE進程，注意路徑。要是結束SYSTEM的SMSS會重啟的，當然也可以用ntsd命令關掉任務管理器中的smss.exe進程。結束並防止其再次啟動是SMSS.EXE病毒手動清除的關鍵，ROSE等直接可以結束其進程然後刪檔案改註冊表就行了。如果不進行第一和第二步驟是不能清楚SMSS病毒的。

接下來刪除下面這些檔案： C:\MSCONFIG.SYS

下面的檔案名稱在註冊表中也會出現，忘記是哪幾個了，搜尋下要么修改要么刪除，呵呵，對了還有個WOW你在註冊表中搜艘看是不是有好幾個？

%Windows%\1（是不是在你註冊表中發現啊 哈哈知道怎么中的了吧）

%Windows%\ExERoute.exe %Windows%\explorer %Windows%\finder

%Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif

%System%\dxdiag %System%\finder %System%\MSCONFIG

%System%\regedit %System%\rundll32 %ProgramFiles%\Internet

Explorer\iexplore %ProgramFiles%\Common Files\iexplore.pif %Program

Files%\sfx software\svchost.exe 其它關聯木馬》木馬路徑：C:\WINDOWS\system32\cns.exe

木馬路徑：C:\WINDOWS\system32\cns.dll 木馬路徑：C:\WINDOWS\system32\command.pif

木馬路徑：C:\WINDOWS\system32\MSCONFIG 木馬路徑：C:\WINDOWS\system32\dxdiag

木馬路徑：C:\WINDOWS\system32\regedit

木馬路徑：C:\WINDOWS\system32\drivers\CnsMinKP.sys 然後到註冊表中將下面的鍵值刪除:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan

Program"="%Windows%\smss.exe"

（也可以直接搜尋註冊表的這樣比較穩妥和全面一點）並修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]下

"shell"="Explorer.exe 1" 為 "shell"="Explorer.exe"

以下步驟可以不進行操作的，不過最好還是掃下吧：分別查找“command.pif”、“finder”、“rundll32”的信息，將“command.pif”、“finder”、“rundll32”修改為“rundll32.exe”

查找“explorer”的信息，將“explorer”修改為“explorer.exe”

查找“iexplore”的信息，將“iexplore”修改為“iexplore.exe”

查找“iexplore.pif”的信息，將找到的“%ProgramFiles%\Common

Files\iexplore.pif”修改為“%ProgramFiles%\Internet Explorer\iexplore.exe”

其中可能有幾個找不到，沒關係，找相同時間的檔案出來刪之（比如這一木馬創立的時間是2006-6-18

15：51你就搜尋所有6-18創建的檔案，當然，時間也要一致，可別刪錯了）如果沒找到，那最好了，說明他已經不存在了。SMSS.EXE病毒相關檔案大小全部一樣為112K，反正我這裡是這么大小，看網上其他人和我寫的不一樣。搞到這裡你可以用些修復軟體對系統進行下恢復，當然也可以不修復的。等等，接下來你不能運行EXE檔案，你開個視頻都要你打開方式的，好下面我們修改下註冊表：不要在運行中輸入東西打不開的。方法一：複製WINDOWS目錄下的regedit.exe到桌面並改名為regedit，然後打開regedit，找到下列分支：HKEY_CLASSES_ROOT\exefile\shell\open\command，雙擊右側視窗中的

(默認) 值，設定為 "%1" %* [包含引號] 再找到: HKEY_CLASSES_ROOT\.exe 雙擊右側視窗中的 (默認) 值，設定為

exefile 然後退出註冊表編輯器，重啟電腦 方法二：複製WINDOWS\system32目錄下的cmd.exe到桌面並改名為cmd

命令行中，依次執行以下命令： ftype exefile="%1" %* [包含引號](回車) assoc .exe=exefile 重啟電腦。

至此SMSS.EXE病毒清除成功。

防範措施：在WINDOWS目錄下建立一個SMSS.EXE檔案並設定為”唯讀“這樣就不會在感染木馬了。這話純屬放P，SMSS病毒是利用IE漏洞傳播，可能你隨便開個網頁都有可能中毒，防止這個病毒最好是下個補丁。

1、用殺病毒軟體清除記憶體中的病毒進程 k4mm.exe svch0st_.exe qqwb.exe InternetExplorer.exe

smss.exe

2、搜尋計算機中的k4mm.exe svch0st_.exe smss.exe qqwb.exe

等病毒檔案並手動刪除，特別是K4MM.exe和smss.exe

這兩個檔案，現在的防毒軟體還無法識別出是病毒，

3、搜尋註冊表中鍵值為C:\winnt\smss.exe 的項，全部刪除

如果沒有防毒軟體，就只好啟動到安全模式下手動清除了。

win2k和winxp用戶：

查找註冊表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon下的shell鍵值，修改為Explorer.exe

win98和winme用戶：

查找system.ini，在system.ini中，查看以下內容：

shell=Explorer.exe

如果不是的，將其修改為以上內容

另外也查找一下run、runservice鍵值，看有否相應的啟動項