在我们的电脑中,有一个名为“smss.exe”的进程,该进程为会话管理子系统用以初始化系统变量,不过有些木马病毒会伪装成smss.exe进入到我们电脑,smss.exe挟持性病毒会导致机器缓慢,对此我们该如何彻底删除smss.exe病毒呢?
概述:
smss.exe(Session Manager Subsystem),该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。
要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是“%WINDIR%SMSS.EXE”,那就可以肯定是中了病毒或木马了。
清除方法:
1. 运行Procexp.exe和SREng.exe;
2. 用ProceXP结束%Windows%SMSS.EXE进程,注意路径和图标;
3. 用SREng恢复exe文件关联;
注意:1、2、3步要注意顺序,不要颠倒。
4. 可以删除文件和启动项了
删除的启动项:
Code:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"TProgram"="%Windows%SMSS.EXE"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]
"TProgram"="%Windows%SMSS.EXE"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Shell"="Explorer.exe 1"修改为:"Shell"="Explorer.exe"
删除的文件就是一开始说的那些,别删错就行。
5. 最后打开注册表编辑器,恢复被修改的信息:
查找"explorer.com",把找到的"explorer.com"修改为"explorer.exe";
查找"finder.com"、"command.pif"、"rundll32.com",把找到的"finder.com"、"command.pif"、"rundll32.com"修改为"rundll32.exe";
查找"iexplore.com",把找到的"iexplore.com"修改为"iexplore.exe";
查找"iexplore.pif",把找到的"iexplore.pif",连同路径一起修改为正常的IE路径和文件名,比如"C:Program FilesInternet Exploreriexplore.exe"。
当电脑突然运行变慢的时候,我们通常会打开任务管理器查看是否有无关进程在悄悄运行,如果在任务管理器中发现了多个smss.exe进程,那么极有可能是中毒了,此时就可以使用上述的方法来进行清除。