smss.exe

由於Smss.exe所有基於Win NT的系統都存在此進程，所以有眾多病毒都盯上了這個進程，這些木馬病毒有些採用完全相同的名稱來迷惑用戶。

Q尾巴，Trojan/PSW.MiFeng蜜蜂大盜等木馬病毒：

進程檔案: smss.exe

進程分析: QQ尾巴，Trojan/PSW.MiFeng蜜蜂大盜等木馬病毒。主要通過瀏覽惡意網頁傳播。該病毒修改註冊表創建Run/Tok-Cirrhatus項實現自啟動。新變種也通過修改註冊表Winlogon項下的Userinit實現自啟動，並將病毒模組regsvr.dll，cn_spi.dll注入進程運行。

安全等級 (0-5): 0 (N/A無危險 5最危險)

間諜軟體: 是

廣告軟體: 是

病毒: 是

木馬: 是

系統進程: 否

應用程式: 否

後台程式: 是

使用訪問: 是

訪問網際網路: 否

1. 運行Procexp.exe和SREng.exe

2. 用ProceXP結束%Windows%\SMSS.EXE進程，注意路徑和圖示

3. 用SREng恢復EXE檔案關聯（1,2,3步要注意順序，不要顛倒。）

4. 可以刪除檔案和啟動項了……

①結束病毒的進程%Windows%\smss.exe（用進程管理軟體可以結束，如：Process viewer）

② 刪除相關檔案：

C:\MSCONFIG.SYS

%Windows%\1.com

%Windows%\ExERoute.exe

%Windows%\explorer.com

%Windows%\finder.com

%Windows%\smss.exe

%Windows%\Debug\DebugProgram.exe

%System%\command.pif

%System%\dxdiag.com

%System%\finder.com

%System%\MSCONFIG.COM

%System%\regedit.com

%System%\rundll32.com

%ProgramFiles%\Internet Explorer\iexplore.com

%ProgramFiles%\Common Files\iexplore.pif

③ 恢復EXE檔案關聯

刪除[HKEY_CLASSES_ROOT\winfiles]項

④ 刪除病毒啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“Torjan Program”=“%Windows%\smss.exe”

修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下

“shell”=“Explorer.exe 1”

為

“shell”=“Explorer.exe”

⑤ 恢復病毒修改的註冊表信息：

（1）分別查找“command.pif”、“finder.com”、“rundll32.com”的信息，將“command.pif”、“finder.com”、“rundll32.com”修改為“rundll32.exe”

（2）查找“explorer.com”的信息，將“explorer.com”修改為“explorer.exe”

（3）查找“iexplore.com”的信息，將“iexplore.com”修改為“iexplore.exe”

（4）查找“iexplore.pif”的信息，將找到的“%ProgramFiles%\Common Files\iexplore.pif”修改為“%ProgramFiles%\Internet Explorer\iexplore.exe”

⑥ 在command模式下寫入assoc .exe=exefile

修復exe關聯，這樣exe檔案才可以打的開

刪除的啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

“Shell”=“Explorer.exe 1”

修改為：

“Shell”=“Explorer.exe”

刪除的檔案就是一開始說的那些，別刪錯就行

5. 最後打開註冊表編輯器，恢復被修改的信息：

查找“explorer.com”，把找到的“explorer.com”修改為“explorer.exe”；

查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改為“rundll32.exe”；

查找“iexplore.com”，把找到的“iexplore.com”修改為“iexplore.exe”；

查找“iexplore.pif”，把找到的“iexplore.pif”，連同路徑一起修改為正常的IE路徑和檔案名稱，比如“C:\Program Files\Internet Explorer\iexplore.exe”。

進程檔案: smss.exe or smss

進程名稱: Session Manager Subsystem

描述:

smss.exe is a process which is a part of the Microsoft Windows Operating System. It is called the Session Manager Subsystem and is responsible for handling sessions on your system. This program is important for the stable and secure running of your computer and should not be terminated.

Note: smss.exe is a process which is registered as a trojan. This 木馬 allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.

Determining whether smss.exe is a virus or a legitimate Windows process depends on the directory location it executes or runs from in WinTasks.

Recommendation for smss.exe:

smss.exe should not be disabled, required for essential applications to work properly.

Author: Microsoft Corp.

Part Of: Microsoft Windows Operating System

安全等級 (0-5): 0

間諜軟體: No

病毒: No ( Remove smss.exe )

木馬: No ( Remove smss.exe )

Memory Usage: N/A

System Process: Yes

Background Process: Yes

Uses Network: No

Hardware Related: No

Common smss.exe Errors: N/A

中文描述：

smss.exe是一個進程，這是一種部分的微軟視窗作業系統。這就是所謂的會話管理子系統和負責處理會在您的系統。這項計畫是重要的穩定和安全運行的計算機，而不應被終止。

注意： smss.exe是一個進程，這是註冊為木馬。這木馬允許黑客訪問您的計算機從遙遠的地點，竊取密碼，網上銀行和個人數據。這是一個安全風險，應刪除您的系統。

確定是否是一個smss.exe病毒或合法的Windows進程取決於它的位置目錄執行或執行從WinTasks 。

建議smss.exe ：

smss.exe不應該被禁用，應該修復以便支持基本套用的進行。

作者：微軟公司

部分：微軟Windows作業系統

安全等級（ 0-5 ） ： 0

間諜軟體：否

病毒：否（刪除smss.exe ）

木馬：否（刪除smss.exe ）

記憶體使用情況：N/A

系統進程：是

後台進程：是

利用網路：無

硬體相關：無

共同smss.exe錯誤：N/A

注釋: 檔案 smss.exe 是存放在目錄 C:\Windows\System32。已知的 Windows XP 檔案大小為 50,688位元組(占總出現比率 90% )，45,568 位元組，62,976 位元組，64,000 位元組。

這是 Windows系統檔案。 程式沒有可視視窗。 這個檔案是由 Microsoft 所簽發。 總結在技術上威脅危險度是 4% , 但是也可以參考 用戶意見。

如果 smss.exe 位於在目錄 C:\Windows下，那么威脅危險度是 75% 。檔案大小是 229,621位元組(占總出現比率 15% )，122,880 位元組，34,816 位元組，159,841 位元組，51,712 位元組，65,664 位元組，45,866 位元組，163,840 位元組，229,888 位元組，69,632 位元組，53,249 位元組，15,872 位元組，106,496 位元組，50,767 位元組，55,296 位元組。這個不是 Windows核心檔案。 檔案沒有發行者的資料。應用程式是不可見的。 這是個不知名的檔案存放於 Windows 目錄。 這個進程在 Windows 啟動時自動載入 (參看註冊表項：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell，C:\Windows\win.ini，HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit，HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders)。 smss.exe 是有能力可以 監控應用程式，操縱其他程式，紀錄輸入。

如果 smss.exe 位於在 C:\Windows\System32\drivers 下的子目錄下，那么威脅危險度是 71% 。檔案大小是 86,016位元組(占總出現比率 81% )，13,312 位元組。這個程式沒有備註。 程式是不可見的。 這是個不知名的檔案存放於 Windows 目錄。 這個不是 Windows系統檔案。 smss.exe 是有能力可以 監控應用程式。

7，聯想傳奇電子教室程式安裝後，學生機的執行程式也為smss.exe。

檔案 smss.exe 是存放在目錄 C:\Windows\System32。已知的 Windows XP 檔案大小為 50,688位元組（占總出現比率 90% ），45,568 位元組，62,976 位元組，64,000 位元組。

這是 Windows 系統檔案。 程式沒有可視視窗。 這個檔案是由 Microsoft 所簽發。 總結在技術上威脅的危險度是 4% , 但是也可以參考 用戶意見。

如果 smss.exe 位於在目錄 C:\Windows下，那么威脅的危險度是 75% 。檔案大小是 229,621位元組（占總出現比率 15% ），122,880 位元組，34,816 位元組，159,841 位元組，51,712 位元組，65,664 位元組，45,866 位元組，163,840 位元組，229,888 位元組，69,632 位元組，53,249 位元組，15,872 位元組，106,496 位元組，50,767 位元組，55,296 位元組。這個不是 Windows 核心檔案。 檔案沒有發行者的資料。 應用程式是不可見的。 這是個不知名的檔案存放於 Windows 目錄。 這個進程在 Windows 啟動時自動載入 （參看註冊表項： HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell，C:\Windows\win.ini，HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit，HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders）。 smss.exe 是有能力可以 監控應用程式，操縱其他程式，紀錄輸入。

如果 smss.exe 位於在 C:\Windows\System32\drivers 下的子目錄下，那么威脅的危險度是 71% 。檔案大小是 86,016位元組（占總出現比率 81% ），13,312 位元組。這個程式沒有備註。 程式是不可見的。 這是個不知名的檔案存放於 Windows 目錄。 這個不是 Windows 系統檔案。 smss.exe 是有能力可以 監控應用程式。

如果 smss.exe 位於在 C:\Windows 下的子目錄下，那么威脅的危險度是 73% 。檔案大小是 245,760位元組（占總出現比率 21% ），1,159,680 位元組，45,126 位元組，18,498 位元組，32,768 位元組，176,128 位元組，225,280 位元組，1,284,419 位元組，172,032 位元組，29,184 位元組，344,116 位元組。

如果 smss.exe 位於在 C:\Windows\System32 下的子目錄下，那么威脅的危險度是 75% 。檔案大小是 223,232位元組（占總出現比率 22% ），9,525 位元組，9,497 位元組，10,752 位元組，385,024 位元組，227,328 位元組，76,800 位元組。

如果 smss.exe 位於在 “C:\Program Files” 下的子目錄下，那么威脅的危險度是 58% 。檔案大小是 3,428,352位元組（占總出現比率 33% ），36,352 位元組，363,952 位元組，1,884,160 位元組，700,416 位元組。

如果 smss.exe 位於在目錄 C:\Windows\System32\drivers下，那么威脅的危險度是 52% 。檔案大小是 94,208 位元組。

如果 smss.exe 位於在 of C:\ 下的子目錄下，那么威脅的危險度是 65% 。檔案大小是 1,146,880位元組（占總出現比率 50% ），420,864 位元組。

如果 smss.exe 位於在目錄 “C:\Program Files\Common Files” 下的子目錄下，那么威脅的危險度是 56% 。檔案大小是 21,538位元組（占總出現比率 50% ），13,650 位元組。

如果 smss.exe 位於在目錄 C:\下，那么威脅的危險度是 65% 。檔案大小是 110,592位元組（占總出現比率 50% ），130,690 位元組。

如果 smss.exe 位於在目錄 “C:\Program Files\Common Files”下，那么威脅的危險度是 100% 。檔案大小是 130,690 位元組。

如果 smss.exe 位於在 “C:\Documents and Settings” 下的子目錄下，那么威脅的危險度是 36% 。檔案大小是 42,065 位元組。

切記： smss.exe 也可能是惡意軟體所偽裝，尤其是當它們存在於 c:\windows 或 c:\windows\system32 目錄。我們建議使用 Security Task Manager 來檢查電腦的安全狀況，以便進一步查看 smss.exe 進程是否真的有害。