系統(tǒng)進程之 SMSS

書叢過客 2010-06-22

展開全文

名稱:smss.exe
組別:100 - 進程項
安全級別: 安全
路徑:C:\WINDOWS\system32\smss.exe
命令行:C:\WINDOWS\System32\smss.exe
文件描述:Windows NT Session Manager
出品公司:Microsoft Corporation
文件大小:49 KB
文件版本:5.1.2600.5512
MD5值:6129c73d0a6402008f7695ddc7b683e2
推薦操作:此項為安全項，我們建議您不進行任何修復操作。

smss:Session Manager Subsystem，

該進程為會話管理子系統(tǒng)

用以初始化系統(tǒng)變量，MS-DOS驅動名稱類似LPT1以及COM，調用Win32殼子系統(tǒng)和運行在Windows登陸過程。它是一個會話管理子

系統(tǒng)，負責啟動用戶會話。這個進程是通過系統(tǒng)進程初始化的并且對許多活動的，包括已經正在運行的Winlogon，Win32

(Csrss.exe)線程和設定的系統(tǒng)變量作出反映。在它啟動這些進程后，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系

統(tǒng)就關掉了。如果發(fā)生了什么不可預料的事情，smss.exe就會讓系統(tǒng)停止響應(掛起)。

正常的smss.exe存在于windows\system32文件夾下，如果不是那么就是病毒了。

要注意：

如果系統(tǒng)中出現(xiàn)了不只一個smss.exe進程，而且有的smss.exe路徑是"%WINDIR%\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，這是一種Windows下的PE病毒，它采用VB6編寫，是一個自動訪問某站點的木馬病毒。該病毒會在注冊表中多處添加自己的啟動項，還會修改系統(tǒng)文件WIN.INI，并在[WINDOWS]項中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除時請先結束病毒進程smss.exe，再刪除%WINDIR%下的smss.exe文件，然后清除它在注冊表和WIN.INI文件中的相關項即可。

-----------------------------------------------------
SMSS病毒
QQ尾巴，Trojan/PSW.MiFeng蜜蜂大盜等木馬病毒：
進程文件: smss.exe
進程名稱: PWSteal.Wowcraft.b木馬病毒
英文描述: N/A
進程分析: QQ尾巴，Trojan/PSW.MiFeng蜜蜂大盜等木馬病毒。主要通過瀏覽惡意網頁傳播。該病毒修改注冊表創(chuàng)建Run/Tok-Cirrhatus項實現(xiàn)自啟動。新變種也通過修改注冊表Winlogon項下的Userinit實現(xiàn)自啟動，并將病毒模塊regsvr.dll，cn_spi.dll注入進程運行。
安全等級 (0-5): 0 (N/A無危險 5最危險)
間諜軟件: 是
廣告軟件: 是
病毒: 是
木馬: 是
系統(tǒng)進程: 否
應用程序: 否
后臺程序: 是
使用訪問: 是
訪問互聯(lián)網: 否
清除方法：
1. 運行Procexp.exe和SREng.exe
2. 用ProceXP結束%Windows%\SMSS.EXE進程，注意路徑和圖標
3. 用SREng恢復EXE文件關聯(lián)
1,2,3步要注意順序，不要顛倒。
4. 可以刪除文件和啟動項了……
要刪除的清單請見: http://www./Html/736.html
刪除的啟動項：
Code:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改為： "Shell"="Explorer.exe"
刪除的文件就是一開始說的那些，別刪錯就行

5. 最后打開注冊表編輯器，恢復被修改的信息：
查找“explorer.com”，把找到的“explorer.com”修改為“explorer.exe”；
查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改為“rundll32.exe”；
查找“iexplore.com”，把找到的“iexplore.com”修改為“iexplore.exe”；
查找“iexplore.pif”，把找到的“iexplore.pif”，連同路徑一起修改為正常的IE路徑和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。

Code:
smss.exe是微軟Windows操作系統(tǒng)的一部分。

該進程調用對話管理子系統(tǒng)和負責操作你系統(tǒng)的對話。這個程序對你系統(tǒng)的正常運行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木馬。

該木馬允許攻擊者訪問你的計算機，竊取密碼和個人數(shù)據。該進程的安全等級是建議立即刪除。

清除的方法

1. 結束病毒的進程%Windows%\smss.exe（用進程管理軟件可以結束，如：Process viewer）

2. 刪除相關文件：
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif

3. 恢復EXE文件關聯(lián)
刪除[HKEY_CLASSES_ROOT\winfiles]項

4. 刪除病毒啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

下"shell"="Explorer.exe 1"為 "shell"="Explorer.exe"

5. 恢復病毒修改的注冊表信息：
(1)分別查找“command.pif”、“finder.com”、“rundll32.com”的信息，將“command.pif”、“finder.com”、“rundll32.com”修改為“rundll32.exe”
(2)查找“explorer.com”的信息，將“explorer.com”修改為“explorer.exe”
(3)查找“iexplore.com”的信息，將“iexplore.com”修改為“iexplore.exe”
(4)查找“iexplore.pif”的信息，將找到的“%ProgramFiles%\Common Files\iexplore.pif”修改為“%ProgramFiles%\Internet Explorer\iexplore.exe”

6 在command模式下寫入assoc .exe=exefile修復exe關聯(lián)，這樣exe文件才可以打的開
------------------------------------------------------

-------
英文版本
進程文件: smss.exe or smss
進程名稱: Session Manager Subsystem
描述:
smss.exe is a process which is a part of the Microsoft Windows Operating System.

It is called the Session Manager Subsystem and is responsible for handling sessions on your system. This program is important for the stable and secure running of your computer and should not be terminated.
Note: smss.exe is a process which is registered as a trojan. This 木馬 allows attackers to access your computer from remote locations, stealing passwords,

Internet banking and personal data. This process is a security risk and should be removed from your system.
Determining whether smss.exe is a virus or a legitimate Windows process depends on the directory location it executes or runs from in WinTasks.
Recommendation for smss.exe: smss.exe should not be disabled, required for essential applications to work properly.

Author: Microsoft Corp.
Part Of: Microsoft Windows Operating System
安全等級 (0-5): 0
間諜軟件: No
病毒: No ( Remove smss.exe )
木馬: No ( Remove smss.exe )
Memory Usage: N/A
System Process: Yes
Background Process: Yes
Uses Network: No
Hardware Related: No
Common smss.exe Errors: N/A
中文描述：
smss.exe是一個進程，這是一種部分的微軟視窗操作系統(tǒng)。

這就是所謂的會話管理子系統(tǒng)和負責處理會在您的系統(tǒng)。這項計劃是重要的穩(wěn)定和安全運行的計算機，而不應被終止。
注意： smss.exe是一個進程，這是注冊為木馬。這木馬允許黑客訪問您的計算機從遙遠的地點，竊取密碼，網上銀行和個人數(shù)據。這是一個安全風險，應刪除您的系統(tǒng)。

確定是否是一個smss.exe病毒或合法的Windows進程取決于它的位置目錄執(zhí)行或執(zhí)行從WinTasks 。
建議smss.exe ：
smss.exe不應該被禁用，應該修復以便支持基本應用的進行。
作者：微軟公司
部分：微軟Windows操作系統(tǒng)
安全等級（ 0-5 ）： 0
間諜軟件：否
病毒：否（刪除smss.exe ）
木馬：否（刪除smss.exe ）
內存使用情況：無/阿
系統(tǒng)進程：是
后臺進程：是
利用網絡：無
硬件相關：無
共同smss.exe錯誤：N/A
注釋: 文件 smss.exe 是存放在目錄 C:\Windows\System32。

已知的 Windows XP 文件大小為 50,688 字節(jié) (占總出現(xiàn)比率 90% )，45,568 字節(jié)，62,976 字節(jié)，64,000 字節(jié)。
這是 Windows 系統(tǒng)文件。程序沒有可視窗口。這個文件是由Microsoft 所簽發(fā)。總結在技術上威脅危險度是 4% , 但是也可

以參考用戶意見。

如果 smss.exe 位于在目錄 C:\Windows下，那么威脅危險度是75% 。文件大小是 229,621 字節(jié) (占總出現(xiàn)比率 15% )，

122,880 字節(jié)，34,816 字節(jié)，159,841 字節(jié)，51,712 字節(jié)，65,664 字節(jié)，45,866 字節(jié)，163,840 字節(jié)，229,888 字節(jié)，

69,632 字節(jié)，53,249 字節(jié)，15,872 字節(jié)，106,496 字節(jié)，50,767 字節(jié)，55,296 字節(jié)。

這個不是 Windows 核心文件。文件沒有發(fā)行者的資料。應用程序是不可見的。這是個不知名的文件存放于 Windows 目錄。這個進程在 Windows 啟動時自動載入

(參看注冊表項：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell，C:\Windows\win.ini，

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run，

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit，

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders，

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders)。

smss.exe 是有能力可以監(jiān)控應用程序，操縱其他程序，紀錄輸入。
如果 smss.exe 位于在 C:\Windows\System32\drivers 下的子目錄下，那么威脅危險度是 71% 。文件大小是 86,016 字節(jié) (占總出現(xiàn)比率 81% )，13,312 字節(jié)。這個程序沒有備注。程序是不可見的。這是個不知名的文件存放于 Windows 目錄。這個不是 Windows 系統(tǒng)文件。 smss.exe 是有能力可以監(jiān)控應用程序。