2007-02-15

smss.exe

smss.exe
進程文件:smss or smss.exe
進程名稱:Session Manager Subsystem
描述:該進程為會話管理子系統用以初始化系統變量,MS-DOS 驅動名稱類似 LPT1 以及 COM,調用 Win32 殼子系統和運行在Windows登陸過程。
Path: C:\WINDOWS\System\SMSS.EXE
Location: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

發生狀況:

去偵測我電腦裡面是否有木馬病毒
系統顯示說 smss.exe 這個有危險...
我後來上網找了 一下 說什麼是xp的漏洞...
---------------------
Windows又出了新漏洞,可以將任意用戶提升到SYSTEM級別的權限。
漏洞出在smss.exe中的DEBUG子系統,所有普通用戶都可以通過該
漏洞獲得對系統中任意進程或線程句柄的控製,從而可以以SYSTEM
或管理員權限執行任意命令。


解決方法:
STEP 1:

你先判斷是不是正常的 smss.exe

正常應該顯示--> smss.exe SYSTEM
可疑--> SMSS.EXE 使用者名稱

你看清楚 有無空格 SMSS(空隔).EXE 或 SMSS.(空隔)EXE
大多數木馬喜歡用類似系統進程名

你可以到開始=>執行 然後鍵入regedit然後到它的編輯==>尋找 輸入smss然後將相關的登入資料刪除


STEP 2:

木馬程式 smss.exe 清除方法:
說明:
這個木馬除了和一般的木馬程式一樣會建立自啟動項、關聯檔案外,它還會修改很多其它關聯,增加了木馬被啟動激活的機率,讓清除木馬的軟體均無法順利的清除成功。

清除方法如下:

1.結束工作管理員的 smss.exe 處理程序

2.刪除相關檔案:
C:\MSCONFIG.SYS
C:\Windows\1.com
C:\Windows\ExERoute.exe
C:\Windows\explorer.com
C:\Windows\finder.com
C:\Windows\smss.exe
C:\Windows\Debug\DebugProgram.exe
C:\WINDOWS\SYSTEM32\command.pif
C:\WINDOWS\SYSTEM32\dxdiag.com
C:\WINDOWS\SYSTEM32\finder.com
C:\WINDOWS\SYSTEM32\MSCONFIG.COM
C:\WINDOWS\SYSTEM32\regedit.com
C:\WINDOWS\SYSTEM32\rundll32.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.pif

在D磁碟機按滑鼠右鍵,選擇“開啟”,刪除掉根目錄下的"Autorun.inf"和"command.com"檔案.

3.恢復EXE檔案關聯
在將上面所列出的檔案都刪除掉之後,所有的exe文件全都打不開了,執行cmd也不行,請到C:\Windows\system32 裏,把cmd.exe檔案複製出來,假設是複製到桌面,改檔案名稱成cmd.com,然後連續按兩下這個cmd.com檔案

進入到DOS下的命令提示字元,請輸入以下的命令:
assoc .exe=exefile (assoc與.exe之間有空格)
ftype exefile="%1" %*
這樣exe檔案就可以執行。

開啟 "登錄編輯程式" 刪除 [HKEY_CLASSES_ROOT\Windowsfiles]項目

4.刪除木馬啟動項目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"

修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1" 為 "shell"="Explorer.exe"

5.修改完成之後,重新開機即清除完成.


smss.exe (在 system32) 是 Windows NT session manager,
不能只刪掉, 要重新把正常的smss.exe補上

此檔容易被1.com和2.sys和3.xxx 破壞入侵

3 則留言:

Unknown 提到...

太好了我的電腦有救了..謝謝你^^

芃芃 提到...

你好!我的是在這個路徑
c:\system volume information\microsoft\smss.exe

c:\system volume information\microsoft\servies.exe
要用什麼方法??

劉雅玲 提到...

衡水熱線聊天室
衡水熱線專業聊天室
衡水網絡情緣聊天室
衡水視頻聊天室
紫塞聊天室
91KShow娛樂社區
91KShow視頻聊天室
聖魔男女SM聊天室
愛聊江蘇地區聊天室
夜色99百人視頻聊天室
夜色88百人視頻聊天室
帝成聊天室吧
愛情聊
愛情聊視頻聊天室
愛情聊視頻社區
彩蓮公主聊天室
乳源交友
西安富婆包養網
寂寞人交友網
中國比基尼美女視頻
日冰寂寞同城交友網
hihi寂寞同城交友網
好聊天室女視頻聊
朵朵同城交友網
同城真人美女寂寞交友
寂寞sm直播間
有什麼免費的色聊網
七仙女裸聊吧
真人在線裸聊網
虫族同城夜情交友網
4758寂寞同城交友
歪歪裸聊
天天色綜合圖
風雪英雄情緣聊天室
百萬富婆交友俱樂部
寂寞小富婆視頻聊天
順德富婆的qq交友群
好的聊天交友網站
同城寂寞交友聊吧
同城陪聊視頻聊天室網站
免費交友約炮一夜情
51E夜晴
火爆聊天室
寂寞同城交友約炮
免費交友約炮一夜情
同城情人網
同城一夜情交友網
密山一夜情社區
豐鎮床友一夜情
泰興約炮
寶雞交友網
崇左富婆的QQ交友
梅河口同城交友網
張家界同城一夜情
溫嶺床友一夜情
枝江艷遇交友
古納同城一夜情
同城床友交友QQ群
同城約炮哪個網站好
廣州同城約炮

張貼留言