网站首页 | 精品社区 | 市场行情 | 产品大全 | 网站地图 | RSS订阅 | 收藏本站

·你绝对无法拒绝! 喜欢Firefox3
·教你两招巧妙隐藏需保密文件
·企业招聘更加看重员工忠诚度
·学生抱怨无法定位 月收入多少
·为什么FlashGet下载前停顿很长

　　[smss.exe]究竟谁“伪装”成我了？

　　Win32.Ladex.a木马

　　清除方法：

　　杀掉该进程， 用任务管理器是不行的，因为他伪装成系统进程，从Windows 2000开始，Windows系统就自带了一个用户态调试工具Ntsd，它能够杀掉大部分进程，因为被调试器附着的进程会随调试器一起退出，所以只要你在命令行下使用Ntsd调出某进程，然后退出Ntsd即可终止该进程，而且使用Ntsd会自动获得Debug权限，因此Ntsd能杀掉大部分的进程。

　　操作方法：单击“开始”/程序/附件/命令提示符，输入命令：ntsd -c q -p PID（把最后那个PID，改成你要终止的进程的PID）。 （当然可以使用关闭进程的相关工具）

　　以上参数-p表示后面跟随的是进程PID， -c q表示执行退出Ntsd的调试命令，从命令行把以上参数传递过去就行了。

　　关闭进程后，使用修复文件关联的工具对EXE文件关联进行修复

　　接着就删除病毒文件和启动项

　　删除的启动项：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
　　"TProgram"="%Windows%SMSS.EXE"

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]
　　"TProgram"="%Windows%SMSS.EXE"

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
　　"Shell"="Explorer.exe 1"
　　修改为：
　　"Shell"="Explorer.exe"

　　最后打开注册表编辑器，恢复被修改的信息：
　　查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；
　　查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；
　　查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；
　　查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:Program FilesInternet Exploreriexplore.exe”。

文章导航： [smss.exe]系统进程分析 [smss.exe]究竟谁“伪装”成我了？

·教你两招巧妙隐藏需保密文件
·[inetinfo.exe]系统进程及相关问题分析
·[kernel32.dll]系统进程及相关问题分析
·[internat.exe]系统进程及相关病毒分析
·[lsass.exe]系统进程及相关病毒分析
·[mmtask.tsk]系统进程分析
·[regsvc.exe]系统进程分析
·[rpcss.exe]系统进程及相关问题分析
·[services.exe]系统进程及相关病毒分析
·[smss.exe]系统进程及相关病毒分析