smss - smss.exe - 进程信息
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem

描述: Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS 驱动名称类似 LPT1 以及 COM，调用 Win32 壳子系统和运行在 Windows 登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的 Winlogon，Win32 (csrss.exe) 线程和设定的系统变量作出反映。在它启动这些进程后，它等待 Winlogon.exe 或者 csrss.exe 结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe 就会让系统停止响应(挂起)。要注意，如果系统中出现了不只一个 smss.exe 进程，而且有的 smss.exe 路径位于 Windows 目录，那有可能是中了 TrojanClicker.Nogard.a 病毒，这是一种 Windows 下的 PE 病毒，它采用 VB6 编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件 WIN.INI，并在 [WINDOWS] 项中加入 "RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程 smss.exe，再删除 Windows 目录下的 smss.exe 文件，然后清除它在注册表和 WIN.INI 文件中的相关项即可。

查杀方法：
1. 确认有没有smss.exe木马 
进入任务管理器（ctrl+alt+delete），查看进程列表，如果有2个smss.exe，一个大写，一个小写，那么你的计算机就感染了smss.exe之wom木马。 
2. 把一下步奏写到一张纸上。 
3.结束大写的smss.exe的进程（记住，一定是大写的，小写的是系统程序。如果不能结束或结束没有反应，试试看用超级兔子或其它软件。或者进入安全模式。）这时候不要运行别的程序，尤其是iexplore。 
4. 结束了smss.exe以后，进入我的电脑，C盘，然后点击工具---文件夹选项---查看，然后点击显示所有文件跟文件夹，把隐藏受保护的系统文件和隐藏已知文件类型的扩张名的勾勾去掉，然后你会看见很多隐藏文件。删除以下文件：(不要用搜索工具，自己找) 
C:\MSCONFIG.SYS 
C:\WINDOWS\1.COM 
C:\WINDOWS\ExERoute.exe 
C:\WINDOWS\explorer.com (这个文件是隐藏的，不要删除explorer.exe) 
C:\WINDOWS\finder.com 
C:\WINDOWS\smss.exe (记住，不要删除在system32 里面的smss.exe) 
C:\WINDOWS\Debug\Debugprogram.exe 
C:\WINDOWS\system32 (或者system, 建议两个都看一下)\command.pif(这个程序的后缀会被隐藏，直接删除任何在system32里的command文件) 
C:\WINDOWS\system32\dxdiag.com (记住是.com,不是.exe，下同) 
C:\WINDOWS\system32\finder.com 
C:\WINDOWS\system32\MSCONFIG.com 
C:\WINDOWS\system32\regedit.com 
C:\WINDOWS\system32\rundll32.com 
C:\ProgramFiles\Internet Explorer\iexplore.com 
C:\ProgramFiles\Common Files\iexplore.pif (这个程序的后缀会被隐藏，直接删除任何在Common Files里的iexplore文件) 
5. 进入你的每一个硬盘（比如说D盘），注意，一定要用点右键，再点打开，不能双击图标！！！！不然这个木马又要被激活。查看有没有pagefile.pif（注意是.pif，不是.sys）和command.com，如果有的话，一律删除。然后打开每一个隐藏文件夹，查看有没有文件后缀为.txt.malicious的文件，有的话把那个文件夹都一起删除。
▲掸子注：可能在每一个文件夹里都会有一个Autorun.ini文件，删除！否则可能会导致文件关联不了打不开盘符。

6. 点击开始—运行—输入regedit，如果系统提示打开不了，打开我的电脑，在雅虎助手的工具条里面点击ie修复—ie修复专家—高级修复，修复任何修改项那时列为危险和有风险。在运行regedit.exe，就行了。 
7. 恢复木马修改的注册项：（以下所说的寻找，点击编辑—查找，按f3会继续查找，一直查到它说注册列表已搜索完毕为止） 
HKey_Local_Machine\software\micorsoft\windows\currentversiou\run, 删除Tprogram（或者trojan program）启动项。 
HKey_Local_Machine\software\microsoft\windowsNT\currentversion\winlogon, 修改shell项里的explore.exe 1为explore.exe 
寻找：command.pif, finder.com, rundll32.com, 并修改找到的项目为rundll32.exe 
寻找：explorer.com，修改为explorer.exe 
寻找：iexplore.com, 修改为iexplore.exe 
寻找：iexplore.pif, 把路径从C:\Program Files\Common Files\iexplore.pif修改为C:\Program Files\Internet Explorer\iexplore.exe 
寻找：pagefile.pif，找到以后往上走几项，点击shell那一项，把键值从autorun改为none, 然后删除shelll里的文件夹，使文件夹，不是文件，比如说双击了shell项会弹出来临外几项，删除它们，如果你不确定，只删除包括pagefile.pif 的文件夹。