判断进程是否感染病毒和杀毒技巧

判断进程是否感染病毒和杀毒技巧SMSS.EXE 进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon 或者 Csrss 结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe 就会让系统停止响应(挂起)。要注意：如果系统中出现了不只一个 smss.exe 进程，而且有的 smss.exe 路径是“%WINDIR%SMSS.EXE” ，那就可以肯定是中了病毒或木马了。清除方法：1. 运行 Procexp.exe 和 SREng.exe2. 用 ProceXP 结束%Windows%SMSS.EXE 进程，注意路径和图标3. 用 SREng 恢复 EXE 文件关联(1,2,3 步要注意顺序，不要颠倒。)4. 可以删除文件和启动项了结束病毒的进程%Windows%smss.exe(用进程管理软件可以结束，如：Process viewer) 删除相关文件：C:MSCONFIG.SYS%Windows%.com%Windows%ExERoute.exe%Windows%%Windows%%Windows%smss.exe%Windows%DebugDebugProgram.exe%System%command.pif%System%%System%%System%MSCONFIG.COM%System%%System%%ProgramFiles%Internet E%ProgramFiles%Common Filesiexplore.pif 恢复 EXE 文件关联删除HKEY_CLASSES_ROOTwinfiles项 删除病毒启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“Torjan Program”=“%Windows%smss.exe”修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下“shell”=“Explorer.exe 1”为“shell”=“Explorer.exe” 恢复病毒修改的注册表信息：(1)分别查找“command.pif” 、 “”、“”的信息，将“command.pif” 、“”、 “”修改为“rundll32.exe”(2)查找“”的信息，将“”修改为“explorer.exe”(3)查找“”的信息，将“”修改为“iexplore.exe”(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%Common Filesiexplore.pif”修改为“%ProgramFiles%Internet Exploreriexplore.exe” 在 command 模式下写入 assoc .exe=exefile修复 exe 关联，这样 exe 文件才可以打的开删除的启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“TProgram”=“%Windows%SMSS.EXE”HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices“TProgram”=“%Windows%SMSS.EXE”HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon“Shell”=“Explorer.exe 1”修改为：“Shell”=“Explorer.exe”删除的文件就是一开始说的那些，别删错就行5. 最后打开注册表编辑器，恢复被修改的信息：查找“” ，把找到的“”修改为“explorer.exe”;查找“” 、 “command.pif”、“”，把找到的“” 、“command.pif”、 “”修改为“rundll32.exe”;查找“” ，把找到的“”修改为“iexplore.exe”;查找“iexplore.pif” ，把找到的“iexplore.pif”，连同路径一起修改为正常的 IE路径和文件名，比如“Crogram FilesInternet Exploreriexplore.exe”。SMSS.EXE 进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon 或者 Csrss 结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe 就会让系统停止响应(挂起)。要注意：如果系统中出现了不只一个 smss.exe 进程，而且有的 smss.exe 路径是“%WINDIR%SMSS.EXE” ，那就可以肯定是中了病毒或木马了。清除方法：1. 运行 Procexp.exe 和 SREng.exe2. 用 ProceXP 结束%Windows%SMSS.EXE 进程，注意路径和图标3. 用 SREng 恢复 EXE 文件关联(1,2,3 步要注意顺序，不要颠倒。)4. 可以删除文件和启动项了结束病毒的进程%Windows%smss.exe(用进程管理软件可以结束，如：Process viewer) 删除相关文件：C:MSCONFIG.SYS%Windows%.com%Windows%ExERoute.exe%Windows%%Windows%%Windows%smss.exe%Windows%DebugDebugProgram.exe%System%command.pif%System%%System%%System%MSCONFIG.COM%System%%System%%ProgramFiles%Internet E%ProgramFiles%Common Filesiexplore.pif 恢复 EXE 文件关联删除HKEY_CLASSES_ROOTwinfiles项 删除病毒启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“Torjan Program”=“%Windows%smss.exe”修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下“shell”=“Explorer.exe 1”为“shell”=“Explorer.exe” 恢复病毒修改的注册表信息：(1)分别查找“command.pif” 、 “”、“”的信息，将“command.pif” 、“”、 “”修改为“rundll32.exe”(2)查找“”的信息，将“”修改为“explorer.exe”(3)查找“”的信息，将“”修改为“iexplore.exe”(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%Common Filesiexplore.pif”修改为“%ProgramFiles%Internet Exploreriexplore.exe” 在 command 模式下写入 assoc .exe=exefile修复 exe 关联，这样 exe 文件才可以打的开删除的启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“TProgram”=“%Windows%SMSS.EXE”HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices“TProgram”=“%Windows%SMSS.EXE”HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon“Shell”=“Explorer.exe 1”修改为：“Shell”=“Explorer.exe”删除的文件就是一开始说的那些，别删错就行5. 最后打开注册表编辑器，恢复被修改的信息：查找“” ，把找到的“”修改为“explorer.exe”;查找“” 、 “command.pif”、“”，把找到的“” 、“command.pif”、 “”修改为“rundll32.exe”;查找“” ，把找到的“”修改为“iexplore.exe”;查找“iexplore.pif” ，把找到的“iexplore.pif”，连同路径一起修改为正常的 IE路径和文件名，比如“Crogram FilesInternet Exploreriexplore.exe”。SMSS.EXE 进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon 或者 Csrss 结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe 就会让系统停止响应(挂起)。要注意：如果系统中出现了不只一个 smss.exe 进程，而且有的 smss.exe 路径是“%WINDIR%SMSS.EXE” ，那就可以肯定是中了病毒或木马了。清除方法：1. 运行 Procexp.exe 和 SREng.exe2. 用 ProceXP 结束%Windows%SMSS.EXE 进程，注意路径和图标3. 用 SREng 恢复 EXE 文件关联(1,2,3 步要注意顺序，不要颠倒。)4. 可以删除文件和启动项了结束病毒的进程%Windows%smss.exe(用进程管理软件可以结束，如：Process viewer) 删除相关文件：C:MSCONFIG.SYS%Windows%.com%Windows%ExERoute.exe%Windows%%Windows%%Windows%smss.exe%Windows%DebugDebugProgram.exe%System%command.pif%System%%System%%System%MSCONFIG.COM%System%%System%%ProgramFiles%Internet E%ProgramFiles%Common Filesiexplore.pif 恢复 EXE 文件关联删除HKEY_CLASSES_ROOTwinfiles项 删除病毒启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“Torjan Program”=“%Windows%smss.exe”修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下“shell”=“Explorer.exe 1”为“shell”=“Explorer.exe” 恢复病毒修改的注册表信息：(1)分别查找“command.pif” 、 “”、“”的信息，将“command.pif” 、“”、 “”修改为“rundll32.exe”(2)查找“”的信息，将“”修改为“explorer.exe”(3)查找“”的信息，将“”修改为“iexplore.exe”(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%Common Filesiexplore.pif”修改为“%ProgramFiles%Internet Exploreriexplore.exe” 在 command 模式下写入 assoc .exe=exefile修复 exe 关联，这样 exe 文件才可以打的开删除的启动项：HKEY_LOCAL_MACHINESOFTWAREMicro