smss.exe

smss.exe
進程文件：smss or smss.exe
進程名稱：Session Manager Subsystem
描述：該進程為會話管理子系統用以初始化系統變量，MS-DOS 驅動名稱類似 LPT1 以及 COM，調用 Win32 殼子系統和運行在Windows登陸過程。
Path: C:\WINDOWS\System\SMSS.EXE
Location: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

發生狀況：

去偵測我電腦裡面是否有木馬病毒
系統顯示說 smss.exe 這個有危險...
我後來上網找了 一下 說什麼是xp的漏洞...
---------------------
Windows又出了新漏洞，可以將任意用戶提升到SYSTEM級別的權限。
漏洞出在smss.exe中的DEBUG子系統，所有普通用戶都可以通過該
漏洞獲得對系統中任意進程或線程句柄的控製，從而可以以SYSTEM
或管理員權限執行任意命令。


解決方法：
STEP 1:

你先判斷是不是正常的 smss.exe

正常應該顯示--> smss.exe SYSTEM
可疑--> SMSS.EXE 使用者名稱

你看清楚 有無空格 SMSS(空隔).EXE 或 SMSS.(空隔)EXE
大多數木馬喜歡用類似系統進程名

你可以到開始=>執行 然後鍵入regedit然後到它的編輯==>尋找 輸入smss然後將相關的登入資料刪除


STEP 2:

木馬程式 smss.exe 清除方法:
說明:
這個木馬除了和一般的木馬程式一樣會建立自啟動項、關聯檔案外，它還會修改很多其它關聯，增加了木馬被啟動激活的機率，讓清除木馬的軟體均無法順利的清除成功。

清除方法如下:

1.結束工作管理員的 smss.exe 處理程序

2.刪除相關檔案：
C:\MSCONFIG.SYS
C:\Windows\1.com
C:\Windows\ExERoute.exe
C:\Windows\explorer.com
C:\Windows\finder.com
C:\Windows\smss.exe
C:\Windows\Debug\DebugProgram.exe
C:\WINDOWS\SYSTEM32\command.pif
C:\WINDOWS\SYSTEM32\dxdiag.com
C:\WINDOWS\SYSTEM32\finder.com
C:\WINDOWS\SYSTEM32\MSCONFIG.COM
C:\WINDOWS\SYSTEM32\regedit.com
C:\WINDOWS\SYSTEM32\rundll32.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.pif

在D磁碟機按滑鼠右鍵，選擇“開啟”,刪除掉根目錄下的"Autorun.inf"和"command.com"檔案.

3.恢復EXE檔案關聯
在將上面所列出的檔案都刪除掉之後，所有的exe文件全都打不開了，執行cmd也不行，請到C:\Windows\system32 裏，把cmd.exe檔案複製出來，假設是複製到桌面，改檔案名稱成cmd.com，然後連續按兩下這個cmd.com檔案

進入到DOS下的命令提示字元，請輸入以下的命令：
assoc .exe=exefile （assoc與.exe之間有空格）
ftype exefile="%1" %*
這樣exe檔案就可以執行。

開啟 "登錄編輯程式" 刪除 [HKEY_CLASSES_ROOT\Windowsfiles]項目

4.刪除木馬啟動項目：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"

修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1" 為 "shell"="Explorer.exe"

5.修改完成之後,重新開機即清除完成.


smss.exe (在 system32) 是 Windows NT session manager,
不能只刪掉, 要重新把正常的smss.exe補上

此檔容易被1.com和2.sys和3.xxx 破壞入侵