lols7资格赛:smss害死人了~

重新安装操作系统

用卡巴斯机杀 毒软件 进安全模式杀毒，应该可以解决问题，再用windows流氓杀毒软件进行清理一下，卡巴斯机要记得先升级

昨晚找一个比较稀有的软件，觅遍互联网，在一个名不经传的小站找到，下下来安装，装完后就感觉有问题。

果然，那个畜生居然在里面插了木马，还是smss.exe的Tprogram木马，狠毒啊，无耻哪……

进程文件：smss或者smss.exe
进程名称：SessionManagerSubsystem

描述：
smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。

我中招后的症状是所有文件都无法打开，包括exe/txt等所有文件。 然后点击右键打开方式会提示“拒绝访问”。

然后把我的symantec给屏蔽掉，不让启动。够狠吧。

进程里有为Tprogram的c:\windows\smss.exe 文件

smss.exe 是c:\windows\system32下的，so,这个windows\下的smss.exe进程肯定是木马了。

进run删除启动项，或者用优化大师等删除开机启动项。然后删除c:\windows\smss.exe 文件。

然后推荐用我以前发的ewido木马查杀软件查杀。

重新启动，它又出现了，这么容易干掉就不是木马了。

上网一搜，说D盘还有文件，一看，果然有 autorun.inf 和 command.com 两个文件，看来这家伙会自己复制，很坏啊

不过呢，用这个软件就可以了，强力木马移除程式
下载地址：http://www.wenkai.com/down/powerrmv.zip

是绿色安装，直接解压就可以运行，选中c:\windows\smss.exe（如果他隐藏了 你就直接选定c:\windows\smss.exe这个路径） 文件，把下面的“抑制复制”勾上，确定就可以了，然后自己把D盘下的2个文件删除，去掉启动项里的c:\winnt\smss.exe。
另外 c:\windows\目录下还有几个文件.exe和1.com文件，也是木马文件，不过在smss.exe被干掉后，你可以直接删除，文件名忘了，不过没有了smss.exe后删不删已经没关系了。不过你可以看建立时间来确定他们，大概个文件（只记得有lsass.exe），是中毒的时候同时建立的。

重新启动，再看看进程，一切OK了.

另外，如果你需要进程管理工具，请下载Process Explorer
http://www.ysye.com/soft/389.html