mokotw


smss.exe

Posted in virus 由 mokotw 於 二月 14, 2007

smss.exe
進程文件:smss or smss.exe
進程名稱:Session Manager Subsystem
描述:該進程為會話管理子系統用以初始化系統變量,MS-DOS 驅動名稱類似 LPT1 以及 COM,調用 Win32 殼子系統和運行在Windows登陸過程。
Path: C:\WINDOWS\System\SMSS.EXE
Location: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

發生狀況:

去偵測我電腦裡面是否有木馬病毒
系統顯示說 smss.exe 這個有危險...
我後來上網找了 一下 說什麼是xp的漏洞...
---------------------
Windows又出了新漏洞,可以將任意用戶提升到SYSTEM級別的權限。
漏洞出在smss.exe中的DEBUG子系統,所有普通用戶都可以通過該
漏洞獲得對系統中任意進程或線程句柄的控製,從而可以以SYSTEM
或管理員權限執行任意命令。

解決方法:
STEP 1:

你先判斷是不是正常的 smss.exe

正常應該顯示--> smss.exe SYSTEM
可疑--> SMSS.EXE 使用者名稱

你看清楚 有無空格 SMSS(空隔).EXE 或 SMSS.(空隔)EXE
大多數木馬喜歡用類似系統進程名

你可以到開始=>執行 然後鍵入regedit然後到它的編輯==>尋找 輸入smss然後將相關的登入資料刪除


STEP 2:

木馬程式 smss.exe 清除方法:
說明:
這個木馬除了和一般的木馬程式一樣會建立自啟動項、關聯檔案外,它還會修改很多其它關聯,增加了木馬被啟動激活的機率,讓清除木馬的軟體均無法順利的清除成功。

清除方法如下:

1.結束工作管理員的 smss.exe 處理程序

2.刪除相關檔案:
C:\MSCONFIG.SYS
C:\Windows\1.com
C:\Windows\ExERoute.exe
C:\Windows\explorer.com
C:\Windows\finder.com
C:\Windows\smss.exe
C:\Windows\Debug\DebugProgram.exe
C:\WINDOWS\SYSTEM32\command.pif
C:\WINDOWS\SYSTEM32\dxdiag.com
C:\WINDOWS\SYSTEM32\finder.com
C:\WINDOWS\SYSTEM32\MSCONFIG.COM
C:\WINDOWS\SYSTEM32\regedit.com
C:\WINDOWS\SYSTEM32\rundll32.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.pif

在D磁碟機按滑鼠右鍵,選擇“開啟”,刪除掉根目錄下的"Autorun.inf"和"command.com"檔案.

3.恢復EXE檔案關聯
在將上面所列出的檔案都刪除掉之後,所有的exe文件全都打不開了,執行cmd也不行,請到C:\Windows\system32 裏,把cmd.exe檔案複製出來,假設是複製到桌面,改檔案名稱成cmd.com,然後連續按兩下這個cmd.com檔案

進入到DOS下的命令提示字元,請輸入以下的命令:
assoc .exe=exefile (assoc與.exe之間有空格)
ftype exefile="%1" %*
這樣exe檔案就可以執行。

開啟 "登錄編輯程式" 刪除 [HKEY_CLASSES_ROOT\Windowsfiles]項目

4.刪除木馬啟動項目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"

修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1" 為 "shell"="Explorer.exe"

5.修改完成之後,重新開機即清除完成.

smss.exe (在 system32) 是 Windows NT session manager,
不能只刪掉, 要重新把正常的smss.exe補上

此檔容易被1.com和2.sys和3.xxx 破壞入侵

廣告

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s


%d 位部落客按了讚: