旁氏美白:关于smss.exe病毒的问题！

木马克星能帮你杀了他。
下载地址：
http://sq2.onlinedown.net/soft/2985.htm

我也中了啊,我SMSS把我的跑跑阻拦了,郁闷啊!
我自己弄的(删没删下去我不知道,反正能玩跑跑了.)
在开始-程序-附件-命令提示符-输入:ntsd -c q -p PID(在任务管理器里查看进程,然后点查看,再点选择列,勾选PID这个项目,然后就能看见进程后面的PID值)
然后点 开始-搜索-点浏览,找到一个叫WINDOWS的文件夹-开始搜索,把找到的东西删掉(删过还会恢复).然后就按 chizhenwei 的方法弄了.我是个小孩子,要是可以的话,可不可以分我一点分啊,不要让我一个小孩子用拼音白白的打了那么长时间哦,谢谢

通过搜索资料，我了解到smss.exe通常是放在system32下的，怎么跑到了windows下了，肯定有问题。于是，我搜索c:\windows目录下和smss.exe相同时间的文件。没有发现，再修改资源管理器->工具->文件夹选项，设置显示所有隐藏的系统文件，这样再搜，果然有东西出来了。列表如下：

hh.dat
***.jpp
1.com
ExERoute.exe
explorer.com
finder.com
smss.exe
DebugProgram.exe
dxdiag.com
finder.com
MSCONFIG.COM
regedit.com
rundll32.com
inexplore.exe

再用msconfig，查看启动选项里面多了个smss.exe的启动，D盘多了两个神秘的文件：autorun.ini和command.com。

根据查询到的资料，我开始进行杀毒。首先，F8进入安全模式，删除smss.exe，autorun.ini和command.com，以及上面那些文件，这些文件创建日期和windows下的smss.exe创建时间相同，都在今天。所以很容易发现。

接着，重启回到系统，编辑注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的smss.exe项，最后下载System Repair Engineer，恢复文件关联。充启系统一切恢复正常，真是虚惊一场！

看来还是FireFox比较安全，IE我是不打算用下去了，让人提心吊胆的。

立即下载FireFox

问题从以下方面解释：
smss.exe文件本身是系统文件，位置只可能在：C:\WINDOWS\system32（XP系统），在其他位置并且是自启动类型的，就十分可疑

SMSS.EXE:Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在 Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的 Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个 smss.exe进程，而且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就是中了 TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入 "RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。

）[smss.exe]

进程文件: smss or smss.exe

进程名称: Session Manager Subsystem

描 述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。

简介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32 （Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。