判断进程是否感染病毒和杀毒技巧.docx
14页
判断进程是否感染病毒和杀毒技巧判断进程是否感染病毒和杀毒技巧SMSS.EXE 进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映在它启动这些进程后,它等待Winlogon 或者 Csrss 结束如果这些过程时正常的,系统就关掉了如果发生了什么不可预料的事情,smss.exe 就会让系统停止响应(挂起)要注意:如果系统中出现了不只一个 smss.exe 进程,而且有的 smss.exe 路径是“%WINDIR%SMSS.EXE” ,那就可以肯定是中了病毒或木马了清除方法:1. 运行 Procexp.exe 和 SREng.exe2. 用 ProceXP 结束%Windows%SMSS.EXE 进程,注意路径和图标3. 用 SREng 恢复 EXE 文件关联(1,2,3 步要注意顺序,不要颠倒)4. 可以删除文件和启动项了……①结束病毒的进程%Windows%smss.exe(用进程管理软件可以结束,如:Process viewer)② 删除相关文件:C:MSCONFIG.SYS%Windows%.com%Windows%ExERoute.exe%Windows%%Windows%%Windows%smss.exe%Windows%DebugDebugProgram.exe%System%command.pif%System%%System%%System%MSCONFIG.COM%System%%System%%ProgramFiles%Internet E%ProgramFiles%Common Filesiexplore.pif③ 恢复 EXE 文件关联删除[HKEY_CLASSES_ROOTwinfiles]项④ 删除病毒启动项:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“Torjan Program”=“%Windows%smss.exe”修改[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下“shell”=“Explorer.exe 1”为“shell”=“Explorer.exe”⑤ 恢复病毒修改的注册表信息:(1)分别查找“command.pif” 、 “” 、“”的信息,将“command.pif” 、“” 、 “”修改为“rundll32.exe”(2)查找“”的信息,将“”修改为“explorer.exe”(3)查找“”的信息,将“”修改为“iexplore.exe”(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%Common Filesiexplore.pif”修改为“%ProgramFiles%Internet Exploreriexplore.exe”⑥ 在 command 模式下写入 assoc .exe=exefile修复 exe 关联,这样 exe 文件才可以打的开删除的启动项:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“TProgram”=“%Windows%SMSS.EXE”[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]“TProgram”=“%Windows%SMSS.EXE”[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]“Shell”=“Explorer.exe 1”修改为:“Shell”=“Explorer.exe”删除的文件就是一开始说的那些,别删错就行5. 最后打开注册表编辑器,恢复被修改的信息:查找“” ,把找到的“”修改为“explorer.exe”;查找“” 、 “command.pif” 、“” ,把找到的“” 、“command.pif” 、 “”修改为“rundll32.exe”;查找“” ,把找到的“”修改为“iexplore.exe”;查找“iexplore.pif” ,把找到的“iexplore.pif” ,连同路径一起修改为正常的 IE路径和文件名,比如“Crogram FilesInternet Exploreriexplore.exe” 。
SMSS.EXE 进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映在它启动这些进程后,它等待Winlogon 或者 Csrss 结束如果这些过程时正常的,系统就关掉了如果发生了什么不可预料的事情,smss.exe 就会让系统停止响应(挂起)要注意:如果系统中出现了不只一个 smss.exe 进程,而且有的 smss.exe 路径是“%WINDIR%SMSS.EXE” ,那就可以肯定是中了病毒或木马了清除方法:1. 运行 Procexp.exe 和 SREng.exe2. 用 ProceXP 结束%Windows%SMSS.EXE 进程,注意路径和图标3. 用 SREng 恢复 EXE 文件关联(1,2,3 步要注意顺序,不要颠倒)4. 可以删除文件和启动项了……①结束病毒的进程%Windows%smss.exe(用进程管理软件可以结束,如:Process viewer)② 删除相关文件:C:MSCONFIG.SYS%Windows%.com%Windows%ExERoute.exe%Windows%%Windows%%Windows%smss.exe%Windows%DebugDebugProgram.exe%System%command.pif%System%%System%%System%MSCONFIG.COM%System%%System%%ProgramFiles%Internet E%ProgramFiles%Common Filesiexplore.pif③ 恢复 EXE 文件关联删除[HKEY_CLASSES_ROOTwinfiles]项④ 删除病毒启动项:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“Torjan Program”=“%Windows%smss.exe”修改[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下“shell”=“Explorer.exe 1”为“shell”=“Explorer.exe”⑤ 恢复病毒修改的注册表信息:(1)分别查找“command.pif” 、 “” 、“”的信息,将“command.pif” 、“” 、 “”修改为“rundll32.exe”(2)查找“”的信息,将“”修改为“explorer.exe”(3)查找“”的信息,将“”修改为“iexplore.exe”(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%Common Filesiexplore.pif”修改为“%ProgramFiles%Internet Exploreriexplore.exe”⑥ 在 command 模式下写入 assoc .exe=exefile修复 exe 关联,这样 exe 文件才可以打的开删除的启动项:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]“TProgram”=“%Windows%SMSS.EXE”[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]“TProgram”=“%Windows%SMSS.EXE”[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]“Shell”=“Explorer.exe 1”修改为:“Shell”=“Explorer.exe”删除的文件就是一开始说的那些,别删错就行5. 最后打开注册表编辑器,恢复被修改的信息:查找“” ,把找到的“”修改为“explorer.exe”;查找“” 、 “command.pif” 、“” ,把找到的“” 、“command.pif” 、 “”修改为“rundll32.exe”;查找“” ,把找到的“”修改为“iexplore.exe”;查找“iexplore.pif” ,把找到的“iexplore.pif” ,连同路径一起修改为正常的 IE路径和文件名,比如“Crogram FilesInternet Exploreriexplore.exe” 。
SMSS.EXE 进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映在它启动这些进程后,它等待Winlogon 或者 Csrss 结束如果这些过程时正常的,系统就关掉了如果发生了什么不可预料的事情,smss.exe 就会让系统停止响应(挂起)要注意:如果系统中出现了不只一个 smss.exe 进程,而且有的 smss.exe 路径是“%WINDIR%SMSS.EXE” ,那就可以肯定是中了病毒或木马了清除方法:1. 运行 Procexp.exe 和 SREng.exe2. 用 ProceXP 结束%Windows%SMSS.EXE 进程,注意路径和图标3. 用 SREng 恢复 EXE 文件关联(1,2,3 步要注意顺序,不要颠倒)4. 可以删除文件和启动项了……①结束病毒的进程%Windows%smss.exe(用进程管理软件可以结束,如:Process viewer)② 删除相关文件:C:MSCONFIG.SYS%Windows%.com%Windows%ExERoute.exe%Windows%%Windows%%Windows%smss.exe%Windows%DebugDebugProgram.exe%System%command.pif%System%%System%%System%MSCONFI。
