进程出现两个SMSS.EXE和LSASS.EXE

这是什么病毒啊,有什么危害呢
如何搞定?
请帮帮我,感激不尽

提防SMSS.EXE木马
www.hacker.cn 发布时间:2006-9-20 9:48:39 作者:孟翔飞 来源:安全中国 


--------------------------------------------------------------------------------

        SMSS.EXE(Session Manager Subsystem)，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就可以肯定是中了病毒或木马了。

处理办法：

    (1)在Windows目录下建立一个批处理文件（比如名为d.bat）：

    del 1.com
    del finders.com
    del debug\debugprogram*.exe
    del exerouter.exe /ar
    del exerouter.exe /ah
    del exp10rer.exe /ar
    del exp10rer.exe /ah
    del d:\command.com /ah
    del d:\command.com /ar
    del smss.exe /ar
    del smss.exe /ah
    assoc .exe=exefile

    (2)开始－运行 cmd, 进入 windnows目录，运行 d.bat。

    (3)修改注册表：

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run， 删掉 TProgram项。
    HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon，将Shell的值由 explorer.exe 1 改为 explorer.exe。
 
    (4) 修改完注册表后立刻 RESET （冷启动）。

    (5) 进入系统后，再次运行d.bat。

    (6) 修复EXE和HTM的关联

    http://www.dougknox.com/xp/file_assoc.htm，去下载XP的EXE和HTM修复的文件后，解压缩将REG文件导入注册表。

    (7) 确定进程中无smss.exe木马 （大概是5000多K的那个文件），若有可在带命令行的安全模式下重复以上操作。

发表于 2006-6-1 00:44  资料 主页 个人空间 短消息   
EXERT.exe和LSASS.exe病毒木马专杀


手工清除：传奇终结者变种JBA（Trojan.PSW.Lmir.jba）

病毒档案

病毒名称：传奇终结者变种JBA（Trojan.PSW.Lmir.jba）
病毒类型：通过网络传播的盗号木马
病毒危害级别：★★★☆
病毒发作现象及危害：
该病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程，使其不能正常运行。它会频繁检查“传奇”客户端的窗口，如果窗口存在，就会取得当前鼠标的位置，并记录键盘信息，最后把记录下来的信息发送到指定邮箱，从而窃取用户的游戏账号和密码等。

这个病毒比较狠毒，手工清除较为复杂。请用户务必按照步骤严格操作，否则很可能出现无法清除干净的情况。建议一般用户最好使用杀毒软件来清除这个病毒。

手工删除：
一    结束病毒进程
鼠标右键点击“任务栏”，选择“任务管理器”。点击菜单“查看”－>“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。

找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号。
   
  点击“开始”－》“运行”，输入“CMD”，点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”，比如我的计算机上就输入“ntsd –c q -p 1464”。

注意：除了这步运行了"进程管理器"后,请任务管理器。不要执行其它的程序。下面需要做的就是删除病毒文件了。
二    删除病毒文件
打开“我的电脑”，设置显示所有的隐藏文件系统文件并显示文件扩展名。删除如下几个文件（windows XP为例2000机器为winnt目录）
小技巧：手工删除LSASS.exe和EXERT.exe文件后发现很快就又有了,怎么办呢？你可以在删除病毒文件后马上新建一个txt文件,然后改名为和病毒生成的exe文件为同名,把文件属性改为只读。这样可以阻止病毒文件再次生成。
del Crogram Files\Common Files\INTEXPLORE.pif
del Crogram Files\Internet Explorer\INTEXPLORE.com
del C:WINDOWS\EXERT.exe
del C:WINDOWS\IO.SYS.BAK
del C:WINDOWS\LSASS.exe
del C:WINDOWS\Debug\DebugProgram.exe
del C:WINDOWS\system32dxdiag.com
del C:WINDOWS\system32MSCONFIG.COM
del C:WINDOWS\system32\regedit.com


如果硬盘有其他分区，则在其他分区上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。
   


三删除注册表中的其他垃圾信息
  这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

  将Windows目录下的“regedit.exe”改名为“regedit.com”并运行，删除以下项目：
  HKEY_CLASSES_ROOTWindowFiles
  HKEY_CURRENT_USERSoftwareVB and VBA Program Settings
  HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下面的    Check_Associations项
  HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面的ToP项。

将HKEY_CLASSES_ROOT.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand的默认值修改为“"Crogram FilesInternet Exploreriexplore.exe" %1”
将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand的默认值修改为“C:Program FilesInternet ExplorerIEXPLORE.EXE”
将HKEY_CLASSES_ROOT tpshellopencommand和HKEY_CLASSES_ROOThtmlfileshellopennewcommand的默认值修改为“"C:Program FilesInternet Exploreriexplore.exe" %1”
将HKEY_CLASSES_ROOThtmlfileshellopencommand和HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为“"C:Program FilesInternet Exploreriexplore.exe" –nohome”
将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet的默认值修改为“IEXPLORE.EXE”。


  重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕。




以上两个方法全部是转发,自己上次也有这个问题用了解决了不知道能不能帮上你.

LSASS.EXE这个不是病毒吧