smss.exe和lsass.exe及捆绑病毒介绍及查杀方法

    第一：

    在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。

    删除C：\Documents and Settings\Administrator\Local Settings\tempt和Temporary Internet Files下的文件，断开网络后再删除C：\Program Files\Common Files\update文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容：

     Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]
     @="exefile"
    "Content Type"="％1，%*"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]
    @="{098f2470-bae0-11cd-b579-08002b30bfeb}"
    或用工具恢复注册表。

    第二：

     smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木马。（看看是不是有2个SMSS.EXE）该木马允许攻击者访问你的计算机，窃取密码和个人数据。

    杀掉该进程， 用任务管理器是不行的，因为他伪装成系统进程，从Windows 2000开始，Windows系统就自带了一个用户态调试工具Ntsd，它能够杀掉大部分进程，因为被调试器附着的进程会随调试器一起退出，所以只要你在命令行下使用Ntsd调出某进程，然后退出Ntsd即可终止该进程，而且使用Ntsd会自动获得Debug权限，因此Ntsd能杀掉大部分的进程。

    操作方法：单击“开始”/程序/附件/命令提示符，输入命令：ntsd -c q -p PID（把最后那个PID，改成你要终止的进程的PID）。

    以上参数-p表示后面跟随的是进程PID， -c q表示执行退出Ntsd的调试命令，从命令行把以上参数传递过去就行了。

    进入安全模式再杀，可以试试ewido anti-malware全世界最好的木马清楚程序。

    下载地址：http://webeee.eeetw.com/webeee%20feng/feng~3/sd/EWIDO3.5.rar Ewido v3.5

    绿色简体注册版（免安装可升级）

    一款网络安全防护软件，在电脑上已经安装的其它安全软件基础上，补充为一个完整的安全系统。plus版本能实时监测整个系统运行，监测内存，内核自保护，在线升级等。程序可识别并清除63，449种不同的黑客程序，木马程序，蠕虫程序，Dialers程序等！ 全面保护你的网络安全！

    ewido很厉害，卡巴无法解决杀除的它都能杀！

    1、解决了注册问题

    2、解决了汉化问题。

    3、做成了绿色软件

    4、解决了升级问题。在升级时，它如果提醒你账号过期，表怕！再点一次升级，不要急。就可以看到可以升级了。

    本软件是一款可以说最好的查杀木马和间谍程序的软件。

    简体中文免安装绿色可升级。另外在繁体系统中用没有乱码字。可以正常显示简体中文

    杀毒软件杀不掉就上微软中国——下载中心，下载“windows恶意软件删除工具”砍了它，砍不掉就用“windows全能王”（免费，百度搜索下载）智能删除、逐项系统清理、IE修复屏蔽。

    SMSS.EXE：Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE".手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。

【深 度 阅 读】 相 关 文 章

·清除lsass.exe病毒的一个方法
·lsass.exe系统进程介绍
·lsass.exe出始化失败
·进程管理知识库 - lsass.exe - lsass