杭州交通信息网超级兵王地缺:怎么用procexp结束SMSS.EXE
来源:百度文库 编辑:杭州交通信息网 时间:2024/04/28 06:20:22
结束系统进程
进程是程序在计算机上的一次执行活动。当你运行一个程序,你就启动了一个进程。显然,程序是死的(静态的),进程是活的(动态的)。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统
进程,它们就是处于运行状态下的操作系统本身;用户进程就是所有由你启动的进程。进程是操作系统进行资源分配的单位。有些进程我们通过“任务管理器”是不能结束的,如果遇到木马怎么办呢?我们可以强行结束这个进程,请看下面介绍的技巧。
Windows操作系统中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的进程。ntsd会新开一个调试窗口,本来在纯命令行下无法控制,但如果只是简单的命令,比如退出(q),用-c参数从命令行传递就行了。NtsdNtsd 按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息,请参阅 NTSD 中所附的帮助文件。用法:开个cmd.exe窗口,输入:
ntsd -c q -p PID
把最后那个PID,改成你要终止的进程的ID。如果你不知道进程的ID,任务管理器->进程选项卡->查看->选择列->勾上"PID(进程标识符)",然后就能看见了。
XP下还有两个好用的工具tasklist和tskill。tasklist能列出所有的进程,和相应的信息。tskill能查杀进程,语法很简单:tskill 程序名!!
smss有那么强吗?我中过很快就清除了啊
SMSS病毒介绍:这是一种Windows下的PE病毒,它采用VB6编写 ,
是一个自动访问某站点(3721)的木马病毒。
该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI
,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。
症状:确定自己中招没就看看吧!如果系统进程中出现了2个smss.exe进程,
而且其中的smss.exe路径是"WINDOWS\SMSS.EXE",那就是中了
TrojanClicker.Nogard.a病毒。 清除过程:和ROSE ADOBER这2个小垃圾不一样,
纯粹的清除其相关病毒文件,修改注册表,更改启动项是没用的,
那时在浪费时间。所以说这个木马病毒比较高级,挺麻烦。
步骤:手动杀毒的时候先把文件夹选项搞好了再进行清除操作,
养成个好习惯。显示隐藏文件,把那个隐藏受保护的操作系统文件的勾点掉。
1.运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-
其它规则,在右边窗口空白处右键选择"新散列规则"。
这样smss.exe就不会再运行了。
2.运行Procexp.exe(没得话可以去下个,这个东东很叼,很好用),
然后结束%Windows%\SMSS.EXE进程,注意路径。
要是结束SYSTEM的SMSS会重启的,
当然也可以用ntsd命令关掉任务管理器中的smss.exe进程。
结束并防止其再次启动是SMSS.EXE病毒手动清除的关键,
ROSE等直接可以结束其进程然后删文件改注册表就行了。
如果不进行第一和第二步骤是不能清楚SMSS病毒的。
3.接下来删除下面这些文件:
C:\MSCONFIG.SYS 下面的文件名在注册表中也会出现,
忘记是哪几个了,搜索下要么修改要么删除,
呵呵,对了还有个WOW你在注册表中搜艘看是不是有好几个?
%Windows%\1.com(是不是在你注册表中发现www.3721.COM啊
哈哈知道怎么中的了吧)
%Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %
Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif
%System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %
System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet
Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif %Program
Files%\sfx software\svchost.exe 其它关联木马》
木马路径:C:\WINDOWS\system32\cns.exe
木马路径:C:\WINDOWS\system32\cns.dll
木马路径:C:\WINDOWS\system32\command.pif
木马路径:C:\WINDOWS\system32\MSCONFIG.COM
木马路径:C:\WINDOWS\system32\dxdiag.com
木马路径:C:\WINDOWS\system32\regedit.com
木马路径:C:\WINDOWS\system32\drivers\CnsMinKP.sys
然后到注册表中将下面的键值删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
(也可以直接搜索注册表的这样比较稳妥和全面一点)并修改
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
下 "shell"="Explorer.exe 1" 为 "shell"="Explorer.exe"
以下步骤可以不进行操作的,不过最好还是扫下吧:
分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,
将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common
Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
其中可能有几个找不到,没关系,找相同时间的文件出来删之
(比如这一木马创立的时间是2006-6-18 15:51你就搜索所有6-18创建的文件,
当然,时间也要一致,可别删错了)如果没找到,那最好了,
说明他已经不存在了。SMSS.EXE病毒相关文件大小全部一样为112K,
反正我这里是这么大小,看网上其他人和我写的不一样。
搞到这里你可以用些修复软件对系统进行下恢复,当然也可以不修复的。
等等,接下来你不能运行EXE文件,你开个视频都要你打开方式的,
好下面我们修改下注册表:不要在运行中输入东西打不开的。
方法一:复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com,
然后打开regedit.com,找到下列分支:
HKEY_CLASSES_ROOT\exefile\shell\open\command,
双击右侧窗口中的 (默认) 值,设置为 "%1" %* [包含引号] 再找到:
HKEY_CLASSES_ROOT\.exe 双击右侧窗口中的 (默认) 值,
设置为 exefile 然后退出注册表编辑器,重启电脑 方
法二:复制WINDOWS\system32目录下的cmd.exe到桌面并改名为cmd.com
命令行中,依次执行以下命令: ftype exefile="%1" %* [包含引号](回车)
assoc .exe=exefile 重启电脑。 至此SMSS.EXE病毒清除成功。
最后网上人家说防范措施:在WINDOWS目录下建立一个SMSS.EXE文件并设置
为”只读“这样就不会在感染木马了。这话纯属放P,SMSS病毒是利用IE漏洞传
播,可能你随便开个网页都有可能中毒,防止这个病毒最好是下个补丁。
SMSS.EXE
中病毒了就疯狂了
我重做系统都不可以
我把硬盘低格了
在安装就好了