判斷進程是否感染病毒和殺毒技巧

http://www.yibo1263.com　2010-4-16 7:43:50 　來源:東北IT網(wǎng) 　編輯:葉子

　　SMSS.EXE進程是通過系統(tǒng)進程初始化的并且對許多活動的，包括已經(jīng)正在運行的Winlogon，Win32(Csrss.exe)線程和設(shè)定的系統(tǒng)變量作出反映。在它啟動這些進程后，它等待Winlogon或者Csrss結(jié)束。如果這些過程時正常的，系統(tǒng)就關(guān)掉了。如果發(fā)生了什么不可預(yù)料的事情，smss.exe就會讓系統(tǒng)停止響應(yīng)(掛起)。要注意：如果系統(tǒng)中出現(xiàn)了不只一個smss.exe進程，而且有的smss.exe路徑是“%WINDIR%SMSS.EXE”，那就可以肯定是中了病毒或木馬了。　　

　　清除方法：　　

　　1. 運行Procexp.exe和SREng.exe 　　

　　2. 用ProceXP結(jié)束%Windows%SMSS.EXE進程，注意路徑和圖標　　

　　3. 用SREng恢復(fù)EXE文件關(guān)聯(lián)(1,2,3步要注意順序，不要顛倒。) 　　

　　4. 可以刪除文件和啟動項了…… 　　

　�、俳Y(jié)束病毒的進程%Windows%smss.exe(用進程管理軟件可以結(jié)束，如：Process viewer) 　　

　�、� 刪除相關(guān)文件：　　

　　C:MSCONFIG.SYS 　　

　　%Windows%.com

　　%Windows%ExERoute.exe 　　

　　%Windows%explorer.com 　　

　　%Windows%finder.com 　　

　　%Windows%smss.exe 　　

　　%Windows%DebugDebugProgram.exe 　　

　　%System%command.pif 　　

　　%System%dxdiag.com 　　

　　%System%finder.com 　　

　　%System%MSCONFIG.COM 　　

　　%System%regedit.com 　　

　　%System%rundll32.com 　

　　%ProgramFiles%Internet Exploreriexplore.com 　　

　　%ProgramFiles%Common Filesiexplore.pif 　　

　�、� 恢復(fù)EXE文件關(guān)聯(lián) 　　

　　刪除[HKEY_CLASSES_ROOTwinfiles]項　　

　　④ 刪除病毒啟動項：　　

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] 　　

　　“Torjan Program”=“%Windows%smss.exe” 　　

　　修改[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下　　

　　“shell”=“Explorer.exe 1”

　　為　　

　　“shell”=“Explorer.exe” 　　

　�、� 恢復(fù)病毒修改的注冊表信息：
　　
　　(1)分別查找“command.pif”、“finder.com”、“rundll32.com”的信息，將“command.pif”、“finder.com”、“rundll32.com”修改為“rundll32.exe” 　　

　　(2)查找“explorer.com”的信息，將“explorer.com”修改為“explorer.exe” 　　

　　(3)查找“iexplore.com”的信息，將“iexplore.com”修改為“iexplore.exe”
　　

　　(4)查找“iexplore.pif”的信息，將找到的“%ProgramFiles%Common Filesiexplore.pif”修改為“%ProgramFiles%Internet Exploreriexplore.exe” 　　

　�、� 在command模式下寫入assoc .exe=exefile 　　

　　修復(fù)exe關(guān)聯(lián)，這樣exe文件才可以打的開
　　
　　刪除的啟動項：　　

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] 　　

　　“TProgram”=“%Windows%SMSS.EXE” 　　

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices] 　　

　　“TProgram”=“%Windows%SMSS.EXE” 　　

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] 　　

　　“Shell”=“Explorer.exe 1” 　　

　　修改為：　　

　　“Shell”=“Explorer.exe”

　　刪除的文件就是一開始說的那些，別刪錯就行　　

　　5. 最后打開注冊表編輯器，恢復(fù)被修改的信息：　　

　　查找“explorer.com”，把找到的“explorer.com”修改為“explorer.exe”; 　　

　　查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改為“rundll32.exe”; 　　

　　查找“iexplore.com”，把找到的“iexplore.com”修改為“iexplore.exe”; 　　

　　查找“iexplore.pif”，把找到的“iexplore.pif”，連同路徑一起修改為正常的IE路徑和文件名，比如“C:Program FilesInternet Exploreriexplore.exe”。

【收藏】【打印】【進入論壇】

相關(guān)文章：

·系統(tǒng)中非法進程的識別及清除方法

·lucoms~1.exe是什么進程

·關(guān)閉殺不了的進程

·Windows系統(tǒng)中Svchost進程應(yīng)用技巧

·Windows系統(tǒng)中Explorer進程使用技巧

·編輯、保存和管理電腦進程知識庫

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费