两个进程 smss.exe,lsass.exe应该是系统下的吧 ,用户名下应该没有。
smss.exe和lsass.exe及捆绑病毒介绍及查杀方法
http://www.qqread.com/virus/l210732.html
第一,他和sxs.*exe一样,会在每个盘符下生成autorun.inf这样一个文件,这个文件如果生成的话,你双击该盘符,就会自动播放,打开可以看到他指向一个叫pagefile.pif的文件,也就是说当你双击的时候,该盘符被打开,同时也运行了pagefile.pif这个文件.但是这个很容易看出来,你在盘符上单击右键会出现auto这个选项,这就是在告诉你,恭喜你,你中招了.
第二,当你被该病毒感染的时候,机器就会不断的弹出网页,而弹出来的网页是一个带有网页木马的网页,也就是说你会在不知不觉中,中了木马,这里比较推荐用卡卡上网助手,他升级到3.1以后会有IE防漏墙,这东西比较好,即使打开了有网页木马的网站,他也要问问你是不是要下载那个马.
第三,当该病毒被运行的时候,进程中会有2个smss.exe和2个lsass.exe进程,各有一个是系统进程,这是系统必须的进程,而另外的两个则是病毒,而且,终止不了该进程,当一个被终止了,另一个就会使他自动再运行.这两个文件都在系统盘的windows\system32\com这个文件夹内.当你在这个文件夹内发现了smss.exe和lsass.exe的话,那么恭喜你,你的生活不再太平了.
第四,你在我的电脑中的工具,文件夹选项,查看中,找不到"隐藏受保护的操作系统文件"这一项了
如果你的症状满足以上4点,那么可以试着用下列方法杀一下毒
第一步,进入安全模式吧,大部分机器是在进入windows前点F8选择安全模式进入,有个别电脑不是这样,那我就不知道怎么了,应该有相应的说明的吧
第二步,进入系统盘的windows\system32\com,删除smss.exe和lsass.exe文件.
第三步,进入注册表,进入方法是在运行中打regedit,然后在编辑,查找中打上pagefile.pif,然后把所有含有该字符的全部删除(一般都先双击看看内容,因为有的是随机启动的,也就是不指他一个文件,这时候只要删除他就行,其他的不要删,只有看到在某个盘符下只有这个文件,再把这个键值全部删除).
第四步,在运行中打上cmd,然后进入每个盘符的最初的目录,然后打dir/a,看看有没有autorun.inf和pagefile.pif这两个文件,如果有的话,那么把这两句话复制进去,attrib -s -r -a -h autorun.inf,然后再复制attrib -s -r -a -h pagefile.pif,,然后进入该盘符,删除他们,一定要每个盘符都这么做
第五步,要修改.exe文件的关联,因为关联被改了,在cmd下输入assoc.exe=exefile,关联就改好了
第六步,用超级兔子看一下有没有可疑的启动项,有的话直接删除
第七步,重新启动电脑,你的任务完成了
[ 本帖最后由 shxzj 于 2007-11-22 17:18 编辑 ] |
发表于 2007-11-22 16:45:02
没反应
发表于 2007-11-22 16:51:23
楼主
