如何删除smss.exe病毒.
这个文件是在我的C:\Windows\system32\wbem\smss.exe中,用卡巴斯基查出病毒,但是它却无法删除,提示说没有访问权限或拒绝访问。请问各位,该如何...
这个文件是在我的C:\Windows\system32\wbem\smss.exe中,用卡巴斯基查出病毒,但是它却无法删除,提示说没有访问权限或拒绝访问。请问各位,该如何彻底删除该病毒呢?多谢
在我的Windows\下没有SMSS.EXE这个文件.而且提示说是特洛伊木马Backdoor.Win32.Delf.auu.这是什么毒阿?怎么删除?请大家帮忙啊! 展开
在我的Windows\下没有SMSS.EXE这个文件.而且提示说是特洛伊木马Backdoor.Win32.Delf.auu.这是什么毒阿?怎么删除?请大家帮忙啊! 展开
5个回答
展开全部
一,终止SMSS运行,记住是在WINDOWS中,在好几种方法:
方法一:
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。
方法二:
单击“开始”/程序/附件/命令提示符,输入命令:ntsd -c q -p PID(把最后那个PID,改成你要终止的进程的PID)。
以上参数-p表示后面跟随的是进程PID, -c q表示执行退出Ntsd的调试命令,从命令行把以上参数传递过去就行了
方法三:
用相应的软件终止,如超级兔子等。
二,制作批处理文件:
del C:\Windows\1.com /a/f/q
del C:\Windows\ExERoute.exe /a/f/q
del C:\Windows\explorer.com /a/f/q
del C:\Windows\finder.com /a/f/q
del C:\Windows\SMSS.EXE /a/f/q
del C:\Windows\BOOT.BIN.BAK /a/f/q
del C:\Windows\Debug\DebugProgram.exe /a/f/q
del C:\Windows\Debug\PASSWD.LOG /a/f/q
del C:\WINDOWS\system32\command.pif /a/f/q
del C:\WINDOWS\system32\dxdiag.com /a/f/q
del C:\WINDOWS\system32\finder.com /a/f/q
del C:\WINDOWS\system32\MSCONFIG.COM /a/f/q
del C:\WINDOWS\system32\regedit.com /a/f/q
del C:\WINDOWS\system32\rundll32.com /a/f/q
del C:\ProgramFiles\Internet Explorer\iexplore.com /a/f/q
del C:\ProgramFiles\Common Files\iexplore.pif /a/f/q
del D:\autorun.inf /a/f/q
del D:\pagefile.pif /a/f/q
将这粘贴到记事本,保存为保存为bat格式,如DD.bat.保存好后运行这个文件.
三,制作注册表消息:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\cplopen\command]
@="rundll32.exe shell32.dll,Control_RunDLL \"%1\",%*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command]
@="%SystemRoot%\\explorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command]
@="%SystemRoot%\\System32\\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@="rundll32.exe shdocvw.dll,OpenURL %l"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\install\command]
@="rundll32.exe desk.cpl,InstallScreenSaver %l"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
把上面这串代码粘到记事本上,保存为reg格式,如BB.reg.然后运行次注册表文件.至此,杀毒过程结束.
只要保证上面步骤正确的话,病毒绝对彻底清楚.--我这个属于半自动型的,适合新手。
用这种方法很方便,祝各位好运。
昨天用了三个小时写了,希望这个方法能让你清除木马.
方法一:
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。
方法二:
单击“开始”/程序/附件/命令提示符,输入命令:ntsd -c q -p PID(把最后那个PID,改成你要终止的进程的PID)。
以上参数-p表示后面跟随的是进程PID, -c q表示执行退出Ntsd的调试命令,从命令行把以上参数传递过去就行了
方法三:
用相应的软件终止,如超级兔子等。
二,制作批处理文件:
del C:\Windows\1.com /a/f/q
del C:\Windows\ExERoute.exe /a/f/q
del C:\Windows\explorer.com /a/f/q
del C:\Windows\finder.com /a/f/q
del C:\Windows\SMSS.EXE /a/f/q
del C:\Windows\BOOT.BIN.BAK /a/f/q
del C:\Windows\Debug\DebugProgram.exe /a/f/q
del C:\Windows\Debug\PASSWD.LOG /a/f/q
del C:\WINDOWS\system32\command.pif /a/f/q
del C:\WINDOWS\system32\dxdiag.com /a/f/q
del C:\WINDOWS\system32\finder.com /a/f/q
del C:\WINDOWS\system32\MSCONFIG.COM /a/f/q
del C:\WINDOWS\system32\regedit.com /a/f/q
del C:\WINDOWS\system32\rundll32.com /a/f/q
del C:\ProgramFiles\Internet Explorer\iexplore.com /a/f/q
del C:\ProgramFiles\Common Files\iexplore.pif /a/f/q
del D:\autorun.inf /a/f/q
del D:\pagefile.pif /a/f/q
将这粘贴到记事本,保存为保存为bat格式,如DD.bat.保存好后运行这个文件.
三,制作注册表消息:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\cplopen\command]
@="rundll32.exe shell32.dll,Control_RunDLL \"%1\",%*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command]
@="%SystemRoot%\\explorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command]
@="%SystemRoot%\\System32\\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@="rundll32.exe shdocvw.dll,OpenURL %l"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\install\command]
@="rundll32.exe desk.cpl,InstallScreenSaver %l"
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
把上面这串代码粘到记事本上,保存为reg格式,如BB.reg.然后运行次注册表文件.至此,杀毒过程结束.
只要保证上面步骤正确的话,病毒绝对彻底清楚.--我这个属于半自动型的,适合新手。
用这种方法很方便,祝各位好运。
昨天用了三个小时写了,希望这个方法能让你清除木马.
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
正常的smss.exe应在C:\Windows\system32\中。
你的机子症状是不是这样:
1、C:\Windows\system32\wbem\中有smss.exe文件,但不能删除。
2、有两个SMSS.exe进程,不能停止。
3、进安全模式,找不到C:\Windows\system32\wbem\,进程里只有一个SMSS.exe。
4、正常启动后,即使smss.exe已被删除,还是会被重新创建。
5、使用过程中smss.exe不停被调用,并且常常弹出些IE窗口。
如果是以上症状的话和我遇到是同样的问题。目前smss.exe可以想办法删除,使用ewido能杀掉。但问题是找不到是什么进程自动创建C:\Windows\system32\wbem\smss.exe,并不停调用,所以即使删除smss.exe也没用。关键能不能找到这个关键进程,我也请大虾们帮帮忙!!!
目前采用了一个流氓办法:先清除该文件,然后在安全模式下,在C:\Windows\system32\wbem\建立一个随便什么文件,将文件名改为smss.exe,属性只读隐藏。正常启动后,木马程序就再创建不起smss.exe文件,随后调用的也是我伪造的smss.exe文件(当然不能运行)。
PS:我创建的是文本文件,里面写了“我占了你的位置”...
你的机子症状是不是这样:
1、C:\Windows\system32\wbem\中有smss.exe文件,但不能删除。
2、有两个SMSS.exe进程,不能停止。
3、进安全模式,找不到C:\Windows\system32\wbem\,进程里只有一个SMSS.exe。
4、正常启动后,即使smss.exe已被删除,还是会被重新创建。
5、使用过程中smss.exe不停被调用,并且常常弹出些IE窗口。
如果是以上症状的话和我遇到是同样的问题。目前smss.exe可以想办法删除,使用ewido能杀掉。但问题是找不到是什么进程自动创建C:\Windows\system32\wbem\smss.exe,并不停调用,所以即使删除smss.exe也没用。关键能不能找到这个关键进程,我也请大虾们帮帮忙!!!
目前采用了一个流氓办法:先清除该文件,然后在安全模式下,在C:\Windows\system32\wbem\建立一个随便什么文件,将文件名改为smss.exe,属性只读隐藏。正常启动后,木马程序就再创建不起smss.exe文件,随后调用的也是我伪造的smss.exe文件(当然不能运行)。
PS:我创建的是文本文件,里面写了“我占了你的位置”...
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
1
SMSS.EXE:Session Manager Subsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可
2
是一个WOW木马,最近好像中招的人多起来了,这个小木马除了和一般的小木马一样会建立自启动项、关联文件外,它还会修改很多其它关联信息,增加了病毒被激活的机率,也给清除带来了一点点麻烦。
在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序,所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧,在处理过程中慢慢体会吧……
1. 结束病毒的进程%Windows%\smss.exe(用木马杀客系统进程可以结束)
2. 删除相关文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
3. 恢复EXE文件关联
删除[HKEY_CLASSES_ROOT\winfiles]项
4. 删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
5. 恢复病毒修改的注册表信息:
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
6 在command模式下写入assoc .exe=exefile
修复exe关联,这样exe文件才可以打的开
SMSS.EXE:Session Manager Subsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可
2
是一个WOW木马,最近好像中招的人多起来了,这个小木马除了和一般的小木马一样会建立自启动项、关联文件外,它还会修改很多其它关联信息,增加了病毒被激活的机率,也给清除带来了一点点麻烦。
在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序,所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧,在处理过程中慢慢体会吧……
1. 结束病毒的进程%Windows%\smss.exe(用木马杀客系统进程可以结束)
2. 删除相关文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
3. 恢复EXE文件关联
删除[HKEY_CLASSES_ROOT\winfiles]项
4. 删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
5. 恢复病毒修改的注册表信息:
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
6 在command模式下写入assoc .exe=exefile
修复exe关联,这样exe文件才可以打的开
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
直接找到文件删除 或者在安全模式下试试 不行再说
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(3)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
