论坛 › 系统与软件区 › 中了SMSS.EXE！完蛋了 杀不掉！

SUPEMARS 发表于 2006-4-6 18:21

中了SMSS.EXE！完蛋了 杀不掉！

现在系统中有两个SMSS.EXE是接另外一个QQ文件整的
一个肯定是病毒我没有办法杀掉 自动启动 杀了 开机又有了请XD们帮忙   奖金500NB

rowan 发表于 2006-4-6 18:21

用杀毒软件不行吗?

SUPEMARS 发表于 2006-4-6 18:30

杀不掉 我用的几个都杀不掉XD们请帮忙

fanjianming 发表于 2006-4-6 18:34

安全模式试试

starwant 发表于 2006-4-6 19:04

所以我从来不接QQ上传来的东东,尤其是类似MM图片之类的

umbrella2008 发表于 2006-4-6 19:07

停掉相关进程
找到病毒文件
再删文件

看看启动项里面没有项目
有的话也删掉

[ 本帖最后由 umbrella2008 于 2006-4-6 19:08 编辑 ]

Tankboy 发表于 2006-4-6 19:20

请教，“SMSS.EXE”是什么病毒阿。楼主别着急，帮你顶。大家快来帮忙啊。

pinguo 发表于 2006-4-6 19:27

smss - smss.exe - 进程信息


smss - smss.exe - 进程信息
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。
常见错误: N/A
是否为系统进程: 是

zwsoft78 发表于 2006-4-6 19:36

truewater 发表于 2006-4-6 19:46

1、先结束该进程。
2、到启动项里面看看有什么可疑项，到相应目录里删掉文件。

最好在安全模式下进行。
或者用HijackThis分析一下，找到可疑项，删除试试。

fanjianming 发表于 2006-4-6 19:48

原帖由 truewater 于 2006-4-6 19:46 发表
1、先结束该进程。
2、到启动项里面看看有什么可疑项，到相应目录里删掉文件。

最好在安全模式下进行。
或者用HijackThis分析一下，找到可疑项，删除试试。
应该可以搞定了的

DarkClouds 发表于 2006-4-6 19:55

同意楼上的意见。
楼主试试

SUPEMARS 发表于 2006-4-6 21:35

原帖由 truewater 于 2006-4-6 19:46 发表
1、先结束该进程。
2、到启动项里面看看有什么可疑项，到相应目录里删掉文件。

最好在安全模式下进行。
或者用HijackThis分析一下，找到可疑项，删除试试。

无法结束进程!!!!安全模式也无法结束现在只在WINDOWSYSTEM32下面找到了一个SMSS.EXE




谁帮我解决了送USB HUB 一个

Alain3363 发表于 2006-4-6 21:48

c:\windows\smss.exe 这是一个木马病毒，采用系统文件名称“smss.exe”
不过，系统的smss.exe是在c:\windows\system32底下的

LZ你找一个unlocker 安装一下 然后找到windows目录下的smss.exe 右键选择unlock 结束然后删除
前提是 在windows根目录下有这个木马(最好手动在目录中查找 并且显示隐藏文件)

注册表项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\system="c:\windows\smss.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\system="c:\windows\smss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\system="c:\windows\smss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\system="c:\windows\smss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run="c:\windows\smss.exe"

[ 本帖最后由 Alain3363 于 2006-4-6 21:50 编辑 ]

lcsxue7 发表于 2006-4-6 21:53

用安全模式 不加载所有ini文件，打开msconfig，把所有和smss的启动项关掉，然后把windows/smss.exe删除。
现在你再把ie的选项重置一下，重启一下。

x30er 发表于 2006-4-6 21:58

试试ewido，可在论坛内搜索

recovery-ibm 发表于 2006-4-6 22:01

晕倒,qq啊,无语

SUPEMARS 发表于 2006-4-6 22:02

不可能不加载的以上XD说的方法我都实验过的没有任何用 在安全模式下开机还是自动启动
在GOOGLE上面看了一下还没有能删了他的

谢谢XD门帮我解决的送HUBHUB一个和全部NB

SUPEMARS 发表于 2006-4-6 22:03

原帖由 recovery-ibm 于 2006-4-6 22:01 发表
晕倒,qq啊,无语
你去网上看一下很厉害的病毒

karlamy 发表于 2006-4-6 22:04

楼主,把这个病毒帖出来,我中了后帮你研究下怎么杀!

Alain3363 发表于 2006-4-6 22:05

原帖由 SUPEMARS 于 2006-4-6 22:02 发表
不可能不加载的以上XD说的方法我都实验过的没有任何用 在安全模式下开机还是自动启动
在GOOGLE上面看了一下还没有能删了他的

谢谢XD门帮我解决的送HUBHUB一个和全部NB
你说得不明白
到现在你都没说究竟你的windows根目录是否有smss.exe
如果是system32里边的 当然关不掉 要关掉的是另一个

ALPHONSE 发表于 2006-4-6 22:06

1.该木马被运行后，会在系统中生成以下文件：c:/%System%/smss.exe，c:/%System%/system33.exe，c:/% System%/fox.exe，c:/%System%/system32/winpass.exe，c:/%System% /system32/pj.exe，c:/%System%/system32/winsym.exe。（%System%为系统文件夹，xp、98用户为c:/windows，2000用户为c:/winnt）

2.会在注册表中生成 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下的smss-- --------c:/%System%/smss.exe， HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices 下的smss----------c:/%System%/smss.exe， HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的smss--- -------c:/%System%/smss.exe， HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices下的smss----------c:/%System%/smss.exe（%System%为系统文件夹，xp、98用户为c:/windows， 2000用户为c:/winnt）

手工清除方案：

1.打开任务管理器（ctrl+alt+del），终止一个叫winsym.exe的进程。（或者直接进入安全模式）

2. 删除c:/%System%/smss.exe，c:/%System%/system33.exe，c:/%System%/fox.exe，c:/% System%/system32/winpass.exe，c:/%System%/system32/pj.exe，c:/%System% /system32/winsym.exe文件（%System%为系统文件夹，xp、98用户为c:/windows，2000用户为c: /winnt）。

3.打开注册表编辑器（开始，运行，regedit），定位到

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下的smss----------c:/%System%/smss.exe， HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices 下的smss----------c:/%System%/smss.exe， HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的smss--- -------c:/%System%/smss.exe， HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices下的smss----------c:/%System%/smss.exe（%System%为系统文件夹，xp、98用户为c:/windows， 2000用户为c:/winnt），删除smss键值。

[ 本帖最后由 ALPHONSE 于 2006-4-6 22:09 编辑 ]

SUPEMARS 发表于 2006-4-6 22:06

病毒我不知道知道中毒了我马上就删了 你等等我看看

x30er 发表于 2006-4-6 22:08

ewido无效吗？试过？

SUPEMARS 发表于 2006-4-6 22:11

原帖由 ALPHONSE 于 2006-4-6 22:06 发表
1.该木马被运行后，会在系统中生成以下文件：c:/%System%/smss.exe，c:/%System%/system33.exe，c:/% System%/fox.exe，c:/%System%/system32/winpass.exe，c:/%System% /system32/pj.exe，c:/%System%/system32/ ...
这些我在网上看到了但是似乎没有用啊   删了开机就有了搞了10多次了

我是一只驴驴 发表于 2006-4-6 22:12

按楼上的XD方法应该可以，还不行的话只有最后一招：
备份文件，然后从装系统！！！！！！！！！！！

Alain3363 发表于 2006-4-6 22:12

楼主到windows根目录用unlocker操作过了?
呵呵

recovery-ibm 发表于 2006-4-6 22:12

我的没有中毒,说明不厉害

SUPEMARS 发表于 2006-4-6 22:13

对不起有朋友已经说了 做系统是没有用的

SUPEMARS 发表于 2006-4-6 22:14

http://www.google.com/search?hl=zh-CN&newwindow=1&q=smss.exe+%E7%97%85%E6%AF%92&lr=

查看完整版本: 中了SMSS.EXE！完蛋了 杀不掉！