高考问答低调做人高调做事反思:进不去,弹出对话框:不能和XXX同时运行
来源:百度文库 编辑:高考问答 时间:2024/04/29 06:15:12
但是这个SMSS.EXE是系统程序,结束不掉,有时可以结束,但是立刻有重新开启
smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是Win32.Ladex.a木马。(看看是不是有2个SMSS.EXE)该木马允许攻击者访问你的计算机,窃取密码和个人数据。
杀掉该进程, 用任务管理器是不行的,因为他伪装成系统进程,
从Windows 2000开始,Windows系统就自带了一个用户态调试工具Ntsd,它能够杀掉大部分进程,因为被调试器附着的进程会随调试器一起退出,所以只要你在命令行下使用Ntsd调出某进程,然后退出Ntsd即可终止该进程,而且使用Ntsd会自动获得Debug权限,因此Ntsd能杀掉大部分的进程。
操作方法:单击“开始”/程序/附件/命令提示符,输入命令:ntsd -c q -p PID(把最后那个PID,改成你要终止的进程的PID)。在进程列表中你可以查到某个进程的PID,例如我们要关闭图1中的Explorer.exe进程,输入:ntsd -c q -p 408即可。
以上参数-p表示后面跟随的是进程PID, -c q表示执行退出Ntsd的调试命令,从命令行把以上参数传递过去就行了。
smss.exe:Session Manager Subsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"/WINDONS/SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "/WINDONS/SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDONS%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项.
症状:
1.任务管理器中2个smss.exe进程,一个是系统进程,另外一个用ntsd可以关掉,不过关掉后马上就再出现,文件在c:\windows,不把"显示系统文件"打开就看不到,经过HijackThis扫描修复不管用.直接删除无效,在安全模式删除也没用,用文件粉碎机删除也无效.会在注册表run项中自动加入,删除后马上又再出现.用木马杀客能发现木马,但清除后马上又出现了.
2.在D盘根目录下有2个文件,一个是autorun.ini,内容为
[autorun]
OPEN=D:\command.com
另一个就是command.com文件,与上面的smss.exe一样被伪装成系统文件.autorun.ini和command.com删除后很快就再出现.
3.用卡巴6.0.0.229扫描找不到,但网络监控一直报警,有一些1.com,1.exe之类的东西.
4.在任务管理器中经常会出一个IEXPLORE.EXE进程,有时候会出现2个,没有使用ie也会出现。
不多废话了,具体说下我的解决办法吧:
对于那个木马文件smss.exe,路径为c:\windows\,正常应该是c:\windows\system32,直接删除根本就没用,因为任务管理器里一直会有它的进程,用ntsd命令关掉后马上又出来了,后来得到龙卷风一位兄弟的方法搞定了,
具体步骤是:运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则"
[attachment=302384]
然后点击浏览找到木马文件,也就是c:\windows\smss.exe,安全级别选择"不允许的",
[attachment=302385]
这样smss.exe就不会再运行了,然后用ntsd命令关掉任务管理器中的smss.exe进程,记住,要关那个用户不是SYSTEM的.
这样就解决了smss.exe,这个也是很主要的,接下来删除下面这些文件(在这之前先去处文件的隐藏属性):
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
%Program Files%\sfx software\svchost.exe
其它关联木马》
木马路径:C:\WINDOWS\system32\cns.exe
木马路径:C:\WINDOWS\system32\cns.dll
木马路径:C:\WINDOWS\system32\command.pif
木马路径:C:\WINDOWS\system32\MSCONFIG.COM
木马路径:C:\WINDOWS\system32\dxdiag.com
木马路径:C:\WINDOWS\system32\regedit.com
木马路径:C:\WINDOWS\system32\drivers\CnsMinKP.sys
然后到注册表中将下面的键值删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"