科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>smss.exe和lsass.exe及捆绑病毒介绍及查杀方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。

来源:zdnet网络安全 2008年02月27日

关键字:病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

第一

在进程里可以见到有两个相同的进程,分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行。LSASS.EXE管理exe类执行文件,exert.exe管理程序退出。

下载个进程管理器,找出问题进程的路径,手动终止LSASS.EXE和exert.exe两个进程(管理器不能终止LSASS.EXE,提示系统进程不能终止),打开msconfig.exe取消LSASS.EXE启动项。

删除C:\Documents and Settings\Administrator\Local Settings\tempt和Temporary InternetFiles下的文件,断开网络后再删除C:\Program Files\Common Files\update文件夹,这里exe类文件已不能运行,新建一个reg文件,输入如下内容:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]

@="exefile"

"Content Type"="%1,%*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]

@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

或用工具恢复注册表。

第二

smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是Win32.Ladex.a木马。(看看是不是有2个SMSS.EXE)该木马允许攻击者访问你的计算机,窃取密码和个人数据。

杀掉该进程, 用任务管理器是不行的,因为他伪装成系统进程,从Windows 2000开始,Windows系统就自带了一个用户态调试工具Ntsd,它能够杀掉大部分进程,因为被调试器附着的进程会随调试器一起退出,所以只要你在命令行下使用Ntsd调出某进程,然后退出Ntsd即可终止该进程,而且使用Ntsd会自动获得Debug权限,因此Ntsd能杀掉大部分的进程。

操作方法:单击“开始”/程序/附件/命令提示符,输入命令:ntsd -c q -p PID(把最后那个PID,改成你要终止的进程的PID)。

以上参数-p表示后面跟随的是进程PID, -c q表示执行退出Ntsd的调试命令,从命令行把以上参数传递过去就行了。

进入安全模式再杀,可以试试ewido anti-malware全世界最好的木马清楚程序。

一款网络安全防护软件,在电脑上已经安装的其它安全软件基础上,补充为一个完整的安全系统。plus版本能实时监测整个系统运行,监测内存,内核自保护,在线升级等。程序可识别并清除63,449种不同的黑客程序,木马程序,蠕虫程序,Dialers程序等! 全面保护你的网络安全!

ewido很厉害,卡巴无法解决杀除的它都能杀!

1、解决了注册问题

2、解决了汉化问题。

3、做成了绿色软件

4、解决了升级问题。在升级时,它如果提醒你账号过期,表怕!再点一次升级,不要急。就可以看到可以升级了。

本软件是一款可以说最好的查杀木马和间谍程序的软件。

简体中文免安装绿色可升级。另外在繁体系统中用没有乱码字。可以正常显示简体中文

杀毒软件杀不掉就上微软中国——下载中心,下载“windows恶意软件删除工具”砍了它,砍不掉就用“windows全能王”(免费,百度搜索下载)智能删除、逐项系统清理、IE修复屏蔽。

SMSS.EXE:Session Manager Subsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE".手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可。

[smss.exe]

进程文件: smss or smss.exe

进程名称: Session Manager Subsystem

描 述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。

简 介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。

别的我不多说……

进程里如果会出现两个smss一个是系统文件。一个是木马木马克星能帮你杀了他。

下载地址:http://sq2.onlinedown.net/soft/2985.htm

第三

进程文件: lsass 或者 lsass.exe

进程名称: Local Security Authority Service

进程名称: lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。

出品者: MicrosoftCorp.属于: Microsoft Windows Operating System

如果你的启动菜单里有个lsass.exe启动项,那就证明你得lsass.exe木马病毒,中毒后,会在windows里产生lsass.exe和exert.exe两个病毒文件,还会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联,以下说一下本人对该病毒的杀法,以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件(本人用金山毒霸2006)全面杀毒,清除余下的病毒!

第四

近期高危险病毒SMSS近几日连续接收几台被SMSS病毒感染的XP机子,用镜像恢复系统没有作用。

其中有一个进程为smss.exe,路径为c:\winnt\smss.exe

(其实2000,xp都有smss.exe必须的进程,但是它的路径是c:\winnt\system32,看路径的工具可以用Process Explorer这个工具来看)

在D盘写一个autocommand.ini文件,可以删除,但是删除后又回自动生成。

一、恢复系统盘镜像后,进入系统。发现依然中毒

二 查看注册表启动项目run有个加载项目tprogram=c:\winnt\smss.exe,可以删除,启动后注册表又有这个!

二 下载木马客星最新版本,安装完毕。木马克星不能启动。提示无法加载病毒库。

三 换木马清道夫,安装后。也是无法启动,提示提示无法加载病毒库,因为c:\winnt\smss.exe

四 安装nod32杀毒,启动提示无法扫描。

四 进入安全模式。安装木马克星,问题依然。这个smss.exe依然存在。

五 进入dos,删除smss.exe.重新启动后,病毒自动生成smss.exe.郁闷。

六、格式化重装系统,仍然有病毒!

七、DM删除分区后重新分区,格式化重装系统,病毒终于没有了!

在网上收集了以下有关该病毒的资料,提供于此,希望对各位防治该病毒有所帮助。

征途旗帜图标木马——SMSS.EXE

据说有新的“变态”木马,SMSS.EXE

主程序:%Windows%\SMSS.EXE图标:征途旗帜图标

通告:http://www.qqread.com/virus/l210732.html 更多内容请看QQ病毒、手机病毒揭密、病毒专栏专题,或进入讨论组讨论。

文件:

%Windows%\1.com

%Windows%\ExERoute.exe(EXE关联)

%Windows%\explorer.com

%Windows%\finder.com

%Windows%\SMSS.EXE

%Windows%\BOOT.BIN.BAK

%Windows%\Debug\DebugProgram.exe

%Windows%\Debug\PASSWD.LOG

%System%\command.pif

%System%\dxdiag.com

%System%\finder.com

%System%\MSCONFIG.COM

%System%\regedit.com

%System%\rundll32.com

%ProgramFiles%\Internet Explorer\iexplore.com

%ProgramFiles%\Common Files\iexplore.pif

D:\autorun.inf

D:\pagefile.pif

创建的启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1"

修改了EXE关联到:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]

干掉对手:

TROJDIE*

RAVMON.EXE

KPOP*

*ASSISTSE*

KPFW*

AGENTSVR*

KREG*

IEFIND*

IPARMOR*

SVI.EXE

UPHC*

RULEWIZE*

FYGT*

RFWSRV*

RFWMA*

清除方法之一……

1. 运行Procexp.exe和SREng.exe

2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标

3. 用SREng恢复EXE文件关联1,2,3步要注意顺序,不要颠倒。

4. 可以删除文件和启动项了……

删除的启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1"修改为:"Shell"="Explorer.exe"

删除的文件就是一开始说的那些,别删错就行。

5. 最后打开注册表编辑器,恢复被修改的信息:

查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;

查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;

查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;

查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。

这些主要是在以下几个位置:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题