木马名称：Win32/Trojan.Generic.b46 求高手帮忙清除掉！

　smss.exe是什么进程? 　　会话管理器负责Windows操作系统启动及操作中的许多的重要步骤，比如打开额外的页面文件、执行延迟的文件改名和删除操作，创建系统环境变量。他也将Csrss.exe和Winlogon.exe进程启动起来，Winlogon.exe进程会依次创建其他系统进程。 　　smss.exe这是一个Windows后台进程，会随着系统一起启动，由于其是系统运行的重要进程，如果强行将其终止系统也会被关闭，如下图所示：　　smss.exe作为系统进程在通常情况下都是安全的，其程序文件所在位置：C:WindowsSystem32smss.exe(C代表系统安装所在分区盘符)。　　功能作用： 　　smss.exe(会话管理器)是Windows系统中第一个创建的用户模式进程。负责完成执行体和内核初始化工作的内核模式系统线程在最后阶段创建了实际的Smss进程。在启动Windows的过程中，smss.exe作用过程分为7个步骤，分别如下： 　　创建LPC port对象，为MSDOS定义符号连接，例如COM1、LPT1，假如安装有Terminal Services，则创建Sessions目录 运行注册表里HKLMSYSTEMCurrentControlSetControlSession ManagerBootExecute定义的程序，一般默认的是运行Autochk 执行HKLMSYSTEMCurrentControlSetControlSession ManagerPendingFileRenameOperations表键中的延迟，删除，改名操作 加载HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs 初始化paging files和注册表 创建系统环境变量，这些定义在HKLMSystemCurrentControlSetSession ManagerEnvironment 加载和初始化Win32子系统的内核模块Win32k.sys 创建Win32子系统服务器进程，包括Csrss.exe并创建Winlogon.exe进程。 　　在注册表的HKLMSYSTEMCurrentControlSetControlSession Manager下面，你可以找到许多配置信息，它们驱动了Smss.exe的初始化步骤。Smss.exe中的主线程在执行了这些初始化步骤以后， 一直在Csrss.exe和Winlogon.exe的进程句柄上等待。如果这两个进程中的任何一个非正常终止了，则Smss让系统崩溃掉(崩溃的代码是STATUS_SYSTEM_PROCESS_TERMINATED或0xC000021A)，因为Windows要依赖于这两个进程的存在才能运行得下去。 　　同时Smss.exe等待加载子系统的请求、调试事件，以及创建新的终端服务器会话(terminal server sessions)的请求。终端服务会话(Terminal Services session)的创建是由Smss.exe来完成的。当Smss.exe接到一个创建会话的请求时，它首先调用NtSetSystemInformation，请求建立内核模式的会话数据结构。又依次调用内部的内存管理器函数MmSessionCreate，该函数建立起会话虚拟地址空间，该地址空间中包含会话中的换页内存池，以及由Win32子系统的内核模式部分(Win32k.sys)和其他的会话空间设备驱动程序所分配的、属于每个会话的数据结构。然后，Smss.exe为该会话创建Winlogon.exe和Csrss.exe的实例。上述介绍就是Win7系统任务管理smss.exe进程具体功能介绍，相信大家对smss.exe进程有一定了解，希望本教程内容对大家有所帮助！

在系统中主要负责会话管理子系统。这个进程作为计算机正常、稳定运行所必须的项目，不应被随意终止以免造成不必要的麻烦。 但请注意： 有些情况下你看到的smss.exe这一进程，实则为木马所注册。木马允许黑客远程访问您的计算机窃取密码，网上银行以及各种隐私数据。成为了一个极大的安全隐患。 截止今天，可牛杀毒安全中心监测到有为数不少的网游玩家的电脑感染了smss.exe病毒，造成smss.exe等系统文件丢失，以及网游账号被盗。现在使用可牛免费杀毒进行全盘扫描能够完美清除该病毒，修复系统文件。 因为其他安全软件查杀该病毒后并不修复系统文件，导致电脑出现smss.exe文件丢失使，可以使用可牛系统急救箱进行系统文件完美修复！ 盗号木马伪装smss.exe等系统文件伺机盗取网游账号 多数杀毒软件对这款盗号木马只能查杀但却不会进行修复，造成系统找不到smss.exe文件，导致运行网游时弹出系统文件丢失提示。从搜索引擎搜索量情况来看，网友对smss.exe文件的搜索量大幅度攀升，也可以确定网友对杀毒软件只是一味查杀而不管修复同样感到头疼。 2009年末，木马感染系统文件成为最新趋势。在过去，木马为了侵入网游，必须在启动项中进行加载，所以安全软件可以通过启动项检查发现是否有木马进入系统。而如上文所提到的通过感染smss.exe文件，从而将木马加载进网游进程的形势，可以绕过大多数安全软件的检测。这也是“系统文件感染病毒” 至今没有被主流杀软查杀的原因。

smss - smss.exe - 进程信息 进程文件： smss 或者 smss.exe进程名称： Session Manager Subsystem描述：smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。出品者： Microsoft Corp.属于：Microsoft Windows Operating System系统进程： 是后台程序： 是使用网络： 否硬件相关： 否常见错误： 未知N/A 内存使用： 未知N/A 安全等级 (0-5): 0间谍软件： 否 Adware: 否病毒： 否 木马: 否应该禁止不了

由于Smss.exe 所有基于Win NT的系统都存在此进程，所以有众多病毒都盯上了这个进程，这些木马病毒有些采用完全相同的名称来迷惑用户。SMSS病毒Q尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒：进程文件: smss.exe进程分析: QQ尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动，并将病毒模块regsvr.dll，cn_spi.dll注入进程运行。安全等级 (0-5): 0 (N/A无危险 5最危险)间谍软件: 是广告软件: 是病毒: 是木马: 是系统进程: 否应用程序: 否后台程序: 是使用访问: 是访问互联网: 否

1。运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则"然后点击浏览找到木马文件c:windowssystemcomsmss.exe,lsass.exe安全级别选择"不允许的",2。进入安全模式看看有没那2个进程。用户名不是system.有的用ntsd –c q -p删了将c:windowssystemcomsmss.exe,lsass.exe文件2个删了。和“开始”菜单下的启动项的“~”，用批处理文件将autorun.inf 和pagefile.pif删了@echo ===============================================@echo Delete Trojan.PSW.Lmir.iux By o__4pollo@echo ===============================================@echo Start...@echo ===============================================@echo Execute ATTRIB...@echo offattrib -s -r -a -h d:pagefile.pifattrib -s -r -a -h e:pagefile.pifattrib -s -r -a -h f:pagefile.pifattrib -s -r -a -h c:pagefile.pifattrib -s -r -a -h c:autorun.infattrib -s -r -a -h d:autorun.infattrib -s -r -a -h e:autorun.infattrib -s -r -a -h f:autorun.infrem ===============================================@echo Execute DELETE...@echo offdel c:pagefile.pifdel d:pagefile.pifdel e:pagefile.pifdel f:pagefile.pifdel c:autorun.infdel d:autorun.infdel e:autorun.infdel f:autorun.inf@echo ===============================================@echo End...@echo ===============================================运行regedit搜索MountPoints2。将下面每一项下面的shellautorun删了病毒在注册表RUN中没启动项。不用改。3。这个病毒感染系统盘外所有盘部分的.exe文件。有的不能用。删了从下。有的向QQ、TTplayer点一次就好了。他会在com里重生成smss.不过他不能运行。直接删了清除电脑中临时文件。注意看看windows emp.

smss 进程文件: smss or smss.exe 进程名称: Session Manager Subsystem 描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。smss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfilesi386下面 如果，这个病毒确实很难解决掉，我建议你开机前按F8,进入系统的安全模式，再运行，杀毒软件，进行全盘扫描，手动删除，必然要动注册表内的键值，我认为风险大。如果与其手动删除，还不如直接系统重装！

smss.exe_百度百科smss.exe(Session Manager Subsystem)，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。这是一个会话管理子系统，负责启动用户会话。

偶尔出现,是程序冲突，与偶尔蓝屏差不多，没什么关系的。 经常出现就危险了，后果很严重，往往是废了半天劲，还得重装系统！ 该内存不能read written常见原因及解决方法 1 内存条坏了 更换内存条 2 双内存不兼容 使用同品牌的内存或只要一条内存 3 内存质量问题 更换内存条 4 散热问题 加强机箱内部的散热 5 内存和主板没插好或其他硬件不兼容 重插内存或换个插槽 6 硬件有问题 更换硬盘 7 驱动问题 重装驱动,如果是新系统,应先安装主板驱动 8 软件损坏 重装软件 9 软件有BUG 打补丁或更新到最新版本 10 软件和系统不兼容 给软件打上补丁或是试试系统的兼容模式 11 软件和软件之间有冲突 如果最近安装了什么新软件,卸载了试试 12 软件要使用其他相关的软件有问题 重装相关软件,比如播放某一格式的文件时出错,可能是这个文件的解码器有问题 13 病毒问题 杀毒 14 杀毒软件与系统或软件相冲突 由于杀毒软件是进入底层监控系统的,可能与一些软件相冲突,卸载试试 15 系统本身有问题 有时候操作系统本身也会有BUG,要注意安装官方发行的更新程序,象SP的补丁,最好打上.如果还不行,重装系统,或更换其他版本的系统。

重装电脑或者有一键还原就用一键还原

文件 smss.exe 是存放在目录 C:WindowsSystem32。已知的 Windows XP 文件大小为 50,688字节（占总出现比率 90% ），45,568 字节，62,976 字节，64,000 字节。这是 Windows 系统文件。 程序没有可视窗口。 这个文件是由 Microsoft 所签发。 总结在技术上威胁的危险度是 4% , 但是也可以参考 用户意见。如果 smss.exe 位于在目录 C:Windows下，那么威胁的危险度是 75% 。文件大小是 229,621字节（占总出现比率 15% ），122,880 字节，34,816 字节，159,841 字节，51,712 字节，65,664 字节，45,866 字节，163,840 字节，229,888 字节，69,632 字节，53,249 字节，15,872 字节，106,496 字节，50,767 字节，55,296 字节。这个不是 Windows 核心文件。 文件没有发行者的资料。 应用程序是不可见的。 这是个不知名的文件存放于 Windows 目录。 这个进程在 Windows 启动时自动载入 （参看注册表项： HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun，HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell，C:Windowswin.ini，HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun，HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices，HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit，HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders，HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders）。 smss.exe 是有能力可以 监控应用程序，操纵其他程序，纪录输入。如果 smss.exe 位于在 C:WindowsSystem32drivers 下的子目录下，那么威胁的危险度是 71% 。文件大小是 86,016字节（占总出现比率 81% ），13,312 字节。这个程序没有备注。 程序是不可见的。 这是个不知名的文件存放于 Windows 目录。 这个不是 Windows 系统文件。 smss.exe 是有能力可以 监控应用程序。如果 smss.exe 位于在 C:Windows 下的子目录下，那么威胁的危险度是 73% 。文件大小是 245,760字节（占总出现比率 21% ），1,159,680 字节，45,126 字节，18,498 字节，32,768 字节，176,128 字节，225,280 字节，1,284,419 字节，172,032 字节，29,184 字节，344,116 字节。如果 smss.exe 位于在 C:WindowsSystem32 下的子目录下，那么威胁的危险度是 75% 。文件大小是 223,232字节（占总出现比率 22% ），9,525 字节，9,497 字节，10,752 字节，385,024 字节，227,328 字节，76,800 字节。如果 smss.exe 位于在 “C:Program Files” 下的子目录下，那么威胁的危险度是 58% 。文件大小是 3,428,352字节（占总出现比率 33% ），36,352 字节，363,952 字节，1,884,160 字节，700,416 字节。如果 smss.exe 位于在目录 C:WindowsSystem32drivers下，那么威胁的危险度是 52% 。文件大小是 94,208 字节。如果 smss.exe 位于在 of C: 下的子目录下，那么威胁的危险度是 65% 。文件大小是 1,146,880字节（占总出现比率 50% ），420,864 字节。如果 smss.exe 位于在目录 “C:Program FilesCommon Files” 下的子目录下，那么威胁的危险度是 56% 。文件大小是 21,538字节（占总出现比率 50% ），13,650 字节。如果 smss.exe 位于在目录 C:下，那么威胁的危险度是 65% 。文件大小是 110,592字节（占总出现比率 50% ），130,690 字节。如果 smss.exe 位于在目录 “C:Program FilesCommon Files”下，那么威胁的危险度是 100% 。文件大小是 130,690 字节。如果 smss.exe 位于在 “C:Documents and Settings” 下的子目录下，那么威胁的危险度是 36% 。文件大小是 42,065 字节。切记： smss.exe 也可能是恶意软件所伪装，尤其是当它们存在于 c:windows 或 c:windowssystem32 目录。我们建议使用 Security Task Manager 来检查电脑的安全状况，以便进一步查看 smss.exe 进程是否真的有害。

1.运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则"。这样smss.exe就不会再运行了。 2.运行Procexp.exe（没得话可以去下个，这个东东很叼，很好用），然后结束%Windows%SMSS.EXE进程，注意路径。要是结束SYSTEM的SMSS会重启的，当然也可以用ntsd命令关掉任务管理器中的smss.exe进程。结束并防止其再次启动是SMSS.EXE病毒手动清除的关键，ROSE等直接可以结束其进程然后删文件改注册表就行了。如果不进行第一和第二步骤是不能清楚SMSS病毒的。 3.接下来删除下面这些文件： C:MSCONFIG.SYS 下面的文件名在注册表中也会出现，忘记是哪几个了，搜索下要么修改要么删除，

对不起弄错了

不是的。我的进程路径是C:WINDOWSSystem32smss.exe

smss.exe 这个进程是不可以从任务管理器中关掉的。 这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的， 包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些 进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么 不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。

Win32/Trojan.Generic.b46，从名称上看，这是一个普通木马！C:WINDOWSSYSTEM32YUASVJMEYSSMSS.EXE很明显是一个木马，因为SMSS.EXE的正确路径应该是C:WINDOWSSYSTEM32SMSS.EXE！请楼主按以下步骤操作：删除C:WINDOWSSYSTEM32YUASVJMEYSSMSS.EXEC:WINDOWSSYSTEM32YUASVJMEYS若遇到文件或文件夹无法删除请参考：1、用UNLOCKER解锁后删除；2、用PowerTool删除；3、用ICESWORD删除；依次点击“开始”“运行”输入regedit确定后进入注册表依次点击工具栏中的“编辑”“查找”在“查找目标”框内输入SMSS.EXE点击“查找下一个(F)”按钮进行查找凡是C:WINDOWSSYSTEM32YUASVJMEYSSMSS.EXE的请全部删除按F3键可以继续查找=======另外SystemIdleProcess是系统空闲进程，该进程占用百分比，就表示系统运行越流畅！=============楼主的机器确定感染木马，并不能确定只有上面这一个木马！先建议楼主去360官方站点下载360系统急救箱和贝壳木马专杀工具（绿色免安装），然后先查杀一下看看能否解决问题！若还是无法解决问题，请楼主按以下步骤进行处理：清空IE临时文件夹；清空系统临时文件夹；清空IE缓存；关闭系统还原；升级杀毒软件病毒库；重启机器按F8进入安全模式下断网全盘查杀；若遇到文件无法删除请参考：1、用UNLOCKER解锁后删除；2、用PowerTool删除；3、用ICESWORD删除；如何进入安全模式？重启机器，不停地按F8，直到出现安全模式或“SAFEMODE”菜单为止，然后选择安全模式或“SAFEMODE”，按ENTER键即可进入安全模式！原创，请复制者自重！请楼主参考，希望能够解决您提出的问题！

删把.实践出真知

这个问题问得很抽象,那既然要想知道哪些是没有用的,那就要先认识一下哪些是系统进程.以下资料来自于网上搜集,【Csrss】：这是Windows的核心部份之一，全称为Client Server Process。我们不能结束 该进程。这个只有4K的进程经常消耗3MB到6MB左右的内存，建议不要修改此进程，让它运 行好了。【Ctfmon】：这是安装了WinXP(尤其是安装ofice XP)后，在桌面右下角显示的“语言栏” ，如果不希望它出现，可通过下面的步骤取消：双击“控制面板”，“区域和语言设置” ，单击“语言”标签，单击“详细信息”按钮，打开“文字服务和输入语言”对话框，单 击下面“首选项”的“语言栏”按钮，打开“语言栏设置”对话框，取消“在桌面上显示 语言栏”的勾选即可。不要小看这个细节，它会为你节省1.5MB到4MB的内存。【dovldr32】：如果你有一个Creative SBLive系列的声卡，就可能击现这个进程，它占用 大约2.3MB到2.6MB的内存。有些奇怪的是，当我从任务栏禁止了这个进程后，通过DVD实验 ，并没有发生任何错误。但如果你将这个文件重新命名了，就会出现windows的文件保护警 告窗口，而且Creative Mixer和AudioHQ程序加载出错。当然你希望节省一些内存，那么可 以将它禁止。【explorer】：这可不是Internet Explorer，explorer.exe总是在后台运行，它控制着标 准的用户界面、进程、命令和桌面等，如果打开“任务管理器”，就会看到一个explorer .exe在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗5.8M B到36MB内存不等。【Ldle】：如果你在“任务管理器”看到它显示99%的占用率，千万不要害怕，实际上这是 好事，因为这表示你的计算机目前有99%的性能等待你使用！这是关键进程，不能结束。该 进程只有16KB的大小，循环统计CPU的空闲度。【IEXPLORE】：这才是IE浏览器。当我们用它上网冲浪时，它占有7.3MB甚至更多的内存。 当然，这个随着打开的浏览器窗口的增加而增多。但当关闭所有IE窗口时，它并不会从任 务管理器消失，IEXPLORE.EXE依然在后台运行着，它的作用是加快我们再一次打开IE的速 度。【Generic Host Process for Win32 Services】：如果你安装了ZoneAlarm以后，在连接 Internet时ZonAlarm总是抱怨链接不到Internet，那么你就应该好好看看下面的文字。Sv host.exe就是Generic Service Host，意思就是说，它是其他服务的主机。如果你的Inte rnet连接不工作了，很有可能是你禁止了一些必须的服务，比如如果你禁止了“DNS搜索” 功能，那么当你输入www.cfan.com.cn时就不会连接上网，但如果输入IP地址，尽管还是可 以上网，但实际上你已经破坏了上网冲浪的关键进程！【msmsgs】：这是微软的Windows Messengr(即时通信软件)著名的MSN进程，在WinXP的家 庭版和专业版里面绑定的，如果你还运行着Outlook和MSN Explorer等程序，该进程会在后 台运行支持所有这些微软号称的很Cool的，NET功能等新技术。【msn6】：这是微软在WinXP里面绑定的MSN Explorer (MSN浏览器)进程，该进程需要msm sgs.exe事先运行。【Navpw32】：这是安装了NortonAntiVirus2002 软件后启动的进程，除非你不需要病毒检 测功能了，否则不要结束这个进程，这个进程同时还承担着自动升级病毒定义库文件的功 能和在系统任务栏显示一个小图标的功能。【Point32】：这是安装了特殊的鼠标软件(Intellimouse等等)后启动的等程序，由于在W inXP里面内建了很多鼠标新功能，所以，就没有必要在系统后台运行，既浪费1.1MB到1.6 MB的内存，还要在任务栏占个地方！【Promon】：这是Intel系列显卡安装的程序，在任务栏显示图标控制程序，占据大约656 KB到1.1MB的内存。【Smss】：只有45KB的大小却占据着300KB到2MB的内存空间，这是一个Windows的核心进程 之一，是windowsNT内核的会话管理程序。【Svchost】：这实际上是一个服务(service)，有时你会经常在“任务管理器”里看到好 几个一样的该进程(分别掌管着system ,network,user或者其他)，在windowsXP里面，如果 你结束了这个进程，那么系统就会在一分钟之内自动关闭，在windows2000中，该进程将显 示为关键进程，禁止结束！【SystemIDLEProcess】：这是一个当没有任何程序或者进程对CPU发出请求的时候调用的 普通进程，该进程不能被结束，如果它显示CPU占用率是97%，那就意味着只有3%的CPU进程 被真正的程序占用着，如果你发现这个ldleprocesses一直保持很低的数值(比如一直显示 3%)，那么肯定有一个应用程序一直在运行着，需要检查一下！【taskmgr】：如果你看到了这个进程在运行，其实就是看这个进程的“任务管理器”本身 。它大约占用了3.2MB的内存，当你优化系统时，不要忘了把它也算进去。【Vptray】：这是NortonAV显示在任务栏的一个图标的进程，占用大约2.9MB左右的内存如 果我们从任务栏将这个图标移走，能够收回一些内存，但是实际上它还在后台运行着。【Winlogon】：这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和 你登录的时间有关系，我曾亲眼看见这个进程占用空间的波动情况，一个是登录一个小时 左右，内存在1.7MB到8.5MB之间波动；另一个登录了40多天，内存在1.7MB到17MB之间波动 。【Wowexec】：当你运行一些老的应用程序(比如一些16位的程序)或者DOS控制台下运行DO S命令行程序，你就会在进程里面发现它。【TaskSwitch】：在XP系统中安装了powerToys后会出现此进程，按Alt+Tab键显示切换图 标，大约占用1.4MB到2MB的内存空间。【在 WIN2000/XP 中,系统包含以下缺省进程】： Csrss.exe Explorer.exe Internat.exe Lsass.exe Mstask.exe Smss.exe Spoolsv.exe Svchost.exe Services.exe System System Idle Process Taskmgr.exe Winlogon.exe Winmgmt.exe【下面列出更多的进程和它们的简要说明】进程名 描述smss.exe Session Managercsrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序svchost.exe Windows 2000/XP 的文件保护系统SPOOLSV.EXE 将文件加载到内存中以便迟后打印explorer.exe 资源管理器internat.exe 托盘区的拼音图标mstask.exe 允许程序在指定时间运行。regsvc.exe 允许远程注册表操作。(系统服务)->remoteregisterwinmgmt.exe 提供系统管理信息(系统服务)inetinfo.exe msftpsvc,w3svc,iisadmntlntsvr.exe tlnrsvrtftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码termsrv.exe termservicedns.exe 应答对域名系统(DNS)名称的查询和更新请求tcpsvcs.exe 提供在PXE可远程启动客户计算机上远程安装2000 Professional的能力ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息ups.exe 管理连接到计算机的不间断电源(UPS)wins.exe 为注册和解析 NetBIOS 型名称的TCP/IP客户提供NetBIOS名称服务llssrv.exe 证书记录服务ntfrs.exe 在多个服务器间维护文件目录内容的文件同步RsSub.exe 控制用来远程储存数据的媒体locator.exe 管理 RPC 名称服务数据库lserver.exe 注册客户端许可证dfssvc.exe 管理分布于局域网或广域网的逻辑卷clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统或其它事务保护资源管理器。faxsvc.exe 帮助您发送和接收传真。cisvc.exe 索引服务madmin.exe 磁盘管理请求的系统管理服务。mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。smlogsvc.exe配置性能日志和警报。rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。RsEng.exe 协调用来储存不常用数据的服务和管理工具。RsFsa.exe 管理远程储存的文件的操作。grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点 ， 以节省磁盘空间(只对NTFS文件系统有用)SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱(trap)消息，然后将消息传递到 运行在这台计算机上 SNMP 管理程序。UtilMan.exe 从一个窗口中启动和配置辅助工具。msiexec.exe 依据.MSI文件中包含的命令来安装、修复以及删除软件。 打开WINDOWS的任务管理器，在进程选项卡中有一大堆正在运行的进程。但是普通人很难分辨出这些进程的来历！哪些是正常的进程，哪些又是木马，病毒的进程一下的内容绝对值得你珍藏下来，因为他们几乎包括咯所有的常见WINDOWS和软件的进程系统进程system process进程文件: [system process] or [system process]进程名称: Windows内存处理系统进程描述: Windows页面内存管理进程，拥有0级优先。是否为系统进程: 是alg.exe进程文件: alg or alg.exe进程名称: 应用层网关服务描述: 这是一个应用层网关服务用于网络共享。是否为系统进程: 是csrss.exe进程文件: csrss or csrss.exe进程名称: Client/Server Runtime Server Subsystem描述: 客户端服务子系统，用以控制Windows图形相关子系统。是否为系统进程: 是ddhelp.exe进程文件: ddhelp or ddhelp.exe进程名称: DirectDraw Helper描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。是否为系统进程: 是dllhost.exe进程文件: dllhost or dllhost.exe进程名称: DCOM DLL Host进程描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。是否为系统进程: 是inetinfo.exe进程文件: inetinfo or inetinfo.exe进程名称: IIS Admin Service Helper描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。是否为系统进程: 是internat.exe进程文件: internat or internat.exe进程名称: Input Locales描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。是否为系统进程: 是kernel32.dll进程文件: kernel32 or kernel32.dll进程名称: Windows壳进程描述: Windows壳进程用于管理多线程、内存和资源。是否为系统进程: 是lsass.exe进程文件: lsass or lsass.exe进程名称: 本地安全权限服务描述: 这个本地安全权限服务控制Windows安全机制。是否为系统进程: 是mdm.exe进程文件: mdm or mdm.exe进程名称: Machine Debug Manager描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script. Editor脚本编辑器。是否为系统进程: 是mmtask.tsk进程文件: mmtask or mmtask.tsk进程名称: 多媒体支持进程描述: 这个Windows多媒体后台程序控制多媒体服务，例如MIDI。是否为系统进程: 是mprexe.exe进程文件: mprexe or mprexe.exe进程名称: Windows路由进程描述: Windows路由进程包括向适当的网络部分发出网络请求。是否为系统进程: 是msgsrv32.exe进程文件: msgsrv32 or msgsrv32.exe进程名称: Windows信使服务描述: Windows信使服务调用Windows驱动和程序管理在启动。是否为系统进程: 是mstask.exe进程文件: mstask or mstask.exe进程名称: Windows计划任务描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。是否为系统进程: 是regsvc.exe进程文件: regsvc or regsvc.exe进程名称: 远程注册表服务描述: 远程注册表服务用于访问在远程计算机的注册表。是否为系统进程: 是rpcss.exe进程文件: rpcss or rpcss.exe进程名称: RPC Portmapper描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。是否为系统进程: 是services.exe进程文件: services or services.exe进程名称: Windows Service Controller描述: 管理Windows服务。是否为系统进程: 是smss.exe进程文件: smss or smss.exe进程名称: Session Manager Subsystem描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。是否为系统进程: 是snmp.exe进程文件: snmp or snmp.exe进程名称: Microsoft SNMP Agent描述: Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。是否为系统进程: 是spool32.exe进程文件: spool32 or spool32.exe进程名称: Printer Spooler描述: Windows打印任务控制程序，用以打印机就绪。是否为系统进程: 是spoolsv.exe进程文件: spoolsv or spoolsv.exe进程名称: Printer Spooler Service描述: Windows打印任务控制程序，用以打印机就绪。是否为系统进程: 是stisvc.exe进程文件: stisvc or stisvc.exe进程名称: Still Image Service描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。是否为系统进程: 是svchost.exe进程文件: svchost or svchost.exe进程名称: Service Host Process描述: Service Host Process是一个标准的动态连接库主机处理服务。是否为系统进程: 是system进程文件: system or system进程名称: Windows System Process描述: Microsoft Windows系统进程。是否为系统进程: 是taskmon.exe进程文件: taskmon or taskmon.exe进程名称: Windows Task Optimizer描述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。是否为系统进程: 是tcpsvcs.exe进程文件: tcpsvcs or tcpsvcs.exe进程名称: TCP/IP Services描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。是否为系统进程: 是winlogon.exe进程文件: winlogon or winlogon.exe进程名称: Windows Logon Process描述: Windows NT用户登陆程序。是否为系统进程: 是winmgmt.exe进程文件: winmgmt or winmgmt.exe进程名称: Windows Management Service描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来自应用客户端的请求。是否为系统进程: 是services.exe进程文件: services or services.exe进程名称: Windows Service Controller描述: 管理Windows服务。是否为系统进程: 是smss.exe进程文件: smss or smss.exe进程名称: Session Manager Subsystem描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。是否为系统进程: 是snmp.exe进程文件: snmp or snmp.exe进程名称: Microsoft SNMP Agent描述: Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。是否为系统进程: 是spool32.exe进程文件: spool32 or spool32.exe进程名称: Printer Spooler描述: Windows打印任务控制程序，用以打印机就绪。是否为系统进程: 是spoolsv.exe进程文件: spoolsv or spoolsv.exe进程名称: Printer Spooler Service描述: Windows打印任务控制程序，用以打印机就绪。是否为系统进程: 是stisvc.exe进程文件: stisvc or stisvc.exe进程名称: Still Image Service描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。是否为系统进程: 是svchost.exe进程文件: svchost or svchost.exe进程名称: Service Host Process描述: Service Host Process是一个标准的动态连接库主机处理服务。是否为系统进程: 是system进程文件: system or system进程名称: Windows System Process描述: Microsoft Windows系统进程。是否为系统进程: 是taskmon.exe进程文件: taskmon or taskmon.exe进程名称: Windows Task Optimizer描述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。是否为系统进程: 是tcpsvcs.exe进程文件: tcpsvcs or tcpsvcs.exe进程名称: TCP/IP Services描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。是否为系统进程: 是winlogon.exe进程文件: winlogon or winlogon.exe进程名称: Windows Logon Process描述: Windows NT用户登陆程序。是否为系统进程: 是

如果Smss.exe该程序损坏,你的电脑就不能开机了,但是你的电脑可以使用,所以这个提示一定是病毒所为.

您可以参照下列提示操作下，希望我的回答对您有所帮助！ ~【原因分析】：1. 虚拟内存不足2. 游戏启动提示缺少某些D3D文件的报错3. QQ安装后无法启动及部分游戏启动报错4. 游戏程序本身故障【解决方案:】：方案一：设置虚拟内存（解决游戏内存不足的报错，XP系统使用，Win7基本都是默认系统分配，不需要手动设置）1. 右键点击【计算机】选择【属性】—【高级系统设置】—【高级】—【设置】。（如图1）图11. 点击【高级】—【更改】，将C盘的虚拟内存自定义为最大【4092】，初始【2046】，然后点击【设置】，【确定】即可。（如图2，图3）图2图3方案二：安装常用游戏运行库1.更新DX9.0（解决游戏启动提示缺少某些D3D文件的报错）1. 打开【360软件管家】，在搜索框中搜索【DX】关键字，找到【DirectX 9.0C】正式版进行【下载安装】即可。（如图4）图42. 安装VC 运行库（针对QQ安装后无法启动及部分游戏启动报错）打开【360软件管家】，在左侧找到【编程开发类】点击，将右侧结果中的【VC 2005、2008、2010】进行安装即可。（如图5）图53. 安装PhysX物理加速驱动可以解决“缺少PhysXLoader.dll”等问题。打开【360软件管家】，在搜索栏输入“Physx”，点击搜索结果里的NVIDIA PhysX system software进行安装即可。（如图6）图64. 安装OpenAL可以解决“缺失 openal32.dll”的问题。打开【360软件管家】，在搜索栏输入“OpenAL”，点击搜索结果里的OpenAL进行安装即可。（如图7）图75.安装Games for Windows-LIVE可以解决“没有找到xlive.dll”的问题。打开【360软件管家】，在搜索栏输入“Games for Windows”，点击搜索结果里的Microsoft Gamesfor Windows进行安装即可。（如图8）图8方案三：去到游戏官网下载最新版本的游戏客户端，下载完成后换路径重新安装一下。

你可以写下名字，在网络上一个一个得查！都可以 查得出来得！

相信经常玩木马的朋友们都会知道一些木马的特性，也会有自己最喜爱的木马，不过，很多朋友依然不知道近年兴起的“DLL木马”为何物。什么是“DLL木马”呢？它与一般的木马有什么不同？ 一、从DLL技术说起 要了解DLL木马，就必须知道这个“DLL”是什么意思，所以，让我们追溯到几年前，DOS系统大行其道的日子里。在那时候，写程序是一件繁琐的事情，因为每个程序的代码都是独立的，有时候为了实现一个功能，就要为此写很多代码，后来随着编程技术发展，程序员们把很多常用的代码集合（通用代码）放进一个独立的文件里，并把这个文件称为“库”（Library），在写程序的时候，把这个库文件加入编译器，就能使用这个库包含的所有功能而不必自己再去写一大堆代码，这个技术被称为“静态链接”（Static Link）。静态链接技术让劳累的程序员松了口气，一切似乎都很美好。可是事实证明，美好的事物不会存在太久，因为静态链接就像一个粗鲁的推销员，不管你想不想要宣传单，他都全部塞到你的手上来。写一个程序只想用到一个库文件包含的某个图形效果，就因为这个，你不得不把这个库文件携带的所有的图形效果都加入程序，留着它们当花瓶摆设，这倒没什么重要，可是这些花瓶却把道路都阻塞了——静态链接技术让最终的程序成了大块头，因为编译器把整个库文件也算进去了。 时代在发展，静态链接技术由于天生的弊端，不能满足程序员的愿望，人们开始寻找一种更好的方法来解决代码重复的难题。后来，Windows系统出现了，时代的分水岭终于出现。Windows系统使用一种新的链接技术，这种被称为“动态链接”（Dynamic Link）的新技术同样也是使用库文件，微软称它们为“动态链接库”——Dynamic Link Library，DLL的名字就是这样来的。动态链接本身和静态链接没什么区别，也是把通用代码写进一些独立文件里，但是在编译方面，微软绕了个圈子，并没有采取把库文件加进程序的方法，而是把库文件做成已经编译好的程序文件，给它们开个交换数据的接口，程序员写程序的时候，一旦要使用某个库文件的一个功能函数，系统就把这个库文件调入内存，连接上这个程序占有的任务进程，然后执行程序要用的功能函数，并把结果返回给程序显示出来，在我们看来，就像是程序自己带有的功能一样。完成需要的功能后，这个DLL停止运行，整个调用过程结束。微软让这些库文件能被多个程序调用，实现了比较完美的共享，程序员无论要写什么程序，只要在代码里加入对相关DLL的调用声明就能使用它的全部功能。最重要的是，DLL绝对不会让你多拿一个花瓶，你要什么它就给你什么，你不要的东西它才不会给你。这样，写出来的程序就不能再携带一大堆垃圾了——绝对不会让你把吃剩的东西带回家，否则罚款，这是自助餐。 DLL技术的诞生，使编写程序变成一件简单的事情，Windows为我们提供了几千个函数接口，足以满足大多数程序员的需要。而且，Windows系统自身就是由几千个DLL文件组成，这些DLL相互扶持，组成了强大的Windows系统。如果Windows使用静态链接技术，它的体积会有多大？我不敢想。 二、应用程序接口API 上面我们对DLL技术做了个大概分析，在里面我提到了“接口”，这又是什么呢？因为DLL不能像静态库文件那样塞进程序里，所以，如何让程序知道实现功能的代码和文件成了问题，微软就为DLL技术做了标准规范，让一个DLL文件像奶酪一样开了许多小洞，每个洞口都注明里面存放的功能的名字，程序只要根据标准规范找到相关洞口就可以取得它要的美味了，这个洞口就是“应用程序接口”（Application Programming Interface），每个DLL带的接口都不相同，尽最大可能的减少了代码的重复。用Steven的一句话：API就是一个工具箱，你根据需要取出螺丝刀、扳手，用完后再把它们放回原处。在Windows里，最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。 三、DLL与木马 DLL是编译好的代码，与一般程序没什么大差别，只是它不能独立运行，需要程序调用。那么，DLL与木马能扯上什么关系呢？如果你学过编程并且写过DLL，就会发现，其实DLL的代码和其他程序几乎没什么两样，仅仅是接口和启动模式不同，只要改动一下代码入口，DLL就变成一个独立的程序了。当然，DLL文件是没有程序逻辑的，这里并不是说DLL=EXE，不过，依然可以把DLL看做缺少了main入口的EXE，DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码，加上一些特殊代码写成DLL文件，导出相关的API，在别人看来，这只是一个普通的DLL，但是这个DLL却携带了完整的木马功能，这就是DLL木马的概念。也许有人会问，既然同样的代码就可以实现木马功能，那么直接做程序就可以，为什么还要多此一举写成DLL呢？这是为了隐藏，因为DLL运行时是直接挂在调用它的程序的进程里的，并不会另外产生进程，所以相对于传统EXE木马来说，它很难被查到。 四、DLL的运行 虽然DLL不能自己运行，可是Windows在加载DLL的时候，需要一个入口函数，就如同EXE的main一样，否则系统无法引用DLL。所以根据编写规范，Windows必须查找并执行DLL里的一个函数DllMain作为加载DLL的依据，这个函数不作为API导出，而是内部函数。DllMain函数使DLL得以保留在内存里，有的DLL里面没有DllMain函数，可是依然能使用，这是因为Windows在找不到DllMain的时候，会从其它运行库中找一个不做任何操作的缺省DllMain函数启动这个DLL使它能被载入，并不是说DLL可以放弃DllMain函数。 五、DLL木马技术分析 到了这里，您也许会想，既然DLL木马有那么多好处，以后写木马都采用DLL方式不就好了吗？话虽然是这么说没错，但是DLL木马并不是一些人想象的那么容易写的。要写一个能用的DLL木马，你需要了解更多知识。 1.木马的主体 千万别把木马模块写得真的像个API库一样，这不是开发WINAPI。DLL木马可以导出几个辅助函数，但是必须有一个过程负责主要执行代码，否则这个DLL只能是一堆零碎API函数，别提工作了。 如果涉及一些通用代码，可以在DLL里写一些内部函数，供自己的代码使用，而不是把所有代码都开放成接口，这样它自己本身都难调用了，更不可能发挥作用。 DLL木马的标准执行入口为DllMain，所以必须在DllMain里写好DLL木马运行的代码，或者指向DLL木马的执行模块。 2.动态嵌入技术 Windows中，每个进程都有自己的私有内存空间，别的进程是不允许对这个私人领地进行操作的，但是，实际上我们仍然可以利用种种方法进入并操作进程的私有内存，这就是动态嵌入，它是将自己的代码嵌入正在运行的进程中的技术。动态嵌入有很多种，最常见的是钩子、API以及远程线程技术，现在的大多数DLL木马都采用远程线程技术把自己挂在一个正常系统进程中。其实动态嵌入并不少见，罗技的MouseWare驱动就挂着每一个系统进程-_- 远程线程技术就是通过在另一个进程中创建远程线程（RemoteThread）的方法进入那个进程的内存地址空间。在DLL木马的范畴里，这个技术也叫做“注入”，当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时，木马就挂上去执行了，没有新进程产生，要想让木马停止惟有让挂接这个木马DLL的进程退出运行。但是，很多时候我们只能束手无策——它和Explorer.exe挂在一起了，你确定要关闭Windows吗？ 3.木马的启动 有人也许会迫不及待的说，直接把这个DLL加入系统启动项目不就可以了。答案是NO，前面说过，DLL不能独立运行，所以无法在启动项目里直接启动它。要想让木马跑起来，就需要一个EXE使用动态嵌入技术让DLL搭上其他正常进程的车，让被嵌入的进程调用这个DLL的DllMain函数，激发木马运行，最后启动木马的EXE结束运行，木马启动完毕。 启动DLL木马的EXE是个重要角色，它被称为Loader，如果没有Loader，DLL木马就是破烂一堆，因此，一个算得上成熟的DLL木马会想办法保护它的Loader不会那么容易被毁灭。记得狼狈为奸的故事吗？DLL木马就是爬在狼Loader上的狈。 Loader可以是多种多样的，Windows的rundll32.exe也被一些DLL木马用来做了Loader，这种木马一般不带动态嵌入技术，它直接挂着rundll32进程运行，用rundll32的方法（rundll32.exe [DLL名],[函数] [参数]）像调用API一样去引用这个DLL的启动函数激发木马模块开始执行，即使你杀了rundll32，木马本体还是在的，一个最常见的例子就是3721中文实名，虽然它不是木马。 注册表的AppInit_DLLs键也被一些木马用来启动自己，如求职信病毒。利用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。 有一些更复杂点的DLL木马通过svchost.exe启动，这种DLL木马必须写成NT-Service，入口函数是ServiceMain，一般很少见，但是这种木马的隐蔽性也不错，而且Loader有保障。 4.其它 到这里大家也应该对DLL木马有个了解了，是不是很想写一个？别急，不知道大家想过没有，既然DLL木马这么好，为什么到现在能找到的DLL木马寥寥无几？现在让我来泼冷水，最重要的原因只有一个：由于DLL木马挂着系统进程运行，如果它本身写得不好，例如没有防止运行错误的代码或者没有严格规范用户的输入，DLL就会出错崩溃。别紧张，一般的EXE也是这样完蛋的，但是DLL崩溃会导致它挂着的程序跟着遭殃，别忘记它挂接的是系统进程哦，结局就是……惨不忍睹。所以写一个能公布的DLL木马，在排错检查方面做的工作要比一般的EXE木马多，写得多了自己都烦躁…… 六、DLL木马的发现和查杀 经常看看启动项有没有多出莫名其妙的项目，这是Loader的所在，只要杀了狼，狈就不能再狂了。而DLL木马本体比较难发现，需要你有一定编程知识和分析能力，在Loader里查找DLL名称，或者从进程里看多挂接了什么陌生的DLL，可是对新手来说……总之就是比较难啊比较难，所以，最简单的方法：杀毒软件和防火墙（不是万能药，切忌长期服用）。 什么是木马? 特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。 从木马的发展来看，基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。 所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

http://zhidao.baidu.com/question/8412559.html?fr=qrl3

那是系统关键进程，结束它，你会有意外收获的根据进程名查杀这种方法是通过WinXP系统下的taskkill命令来实现的，在使用该方法之前，首先需要打开系统的进程列表界面，找到病毒进程所对应的具体进程名。接着依次单击“开始→运行”命令，在弹出的系统运行框中，运行“cmd”命令；再在DOS命令行中输入“taskkill/imaaa”格式的字符串命令，单击回车键后，顽固的病毒进程“aaa”就被强行杀死了。比方说，要强行杀死“conime.exe”病毒进程，只要在命令提示符下执行“taskkill/imconime.exe”命令，要不了多久，系统就会自动返回结果。根据进程号查杀上面的方法，只对部分病毒进程有效，遇到一些更“顽固”的病毒进程，可能就无济于事了。此时你可以通过Win2000以上系统的内置命令——ntsd，来强行杀死一切病毒进程，因为该命令除System进程、SMSS.EXE进程、CSRSS.EXE进程不能“对付”外，基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前，需要先查找到对应病毒进程的具体进程号。考虑到系统进程列表界面在默认状态下，是不显示具体进程号的，因此你可以首先打开系统任务管理器窗口，再单击“查看”菜单项下面的“选择列”命令，在弹出的设置框中，将“PID（进程标志符）”选项选中，单击“确定”按钮。返回到系统进程列表页面中后，你就能查看到对应病毒进程的具体PID了。接着打开系统运行对话框，在其中运行“cmd”命令，在命令提示符状态下输入“ntsd-cq-pPID”命令，就可以强行将指定PID的病毒进程杀死了。例如，发现某个病毒进程的PID为“444”，那么可以执行“ntsd-cq-p444”命令，来杀死这个病毒进程。

C:WINDOWSSystem32smss.exe : 系统文件 c:windowssystem32wscntfy.exe : 系统文件 c:Program FilesInternet Exploreriexplore.exe : 系统文件(inxplore.exe不是系统文件) 你的情况可能是有木马注入了smss.exe,wscntfy.exe,iexplore.exe，然后利用这三个进程伪装自己，如果有一定基础的话可以用Process Explorer 10/11查看这三个进程的Handle/Objects栏内与系统文件名相近的EXE，然后用它的Search Handle(搜索句柄)的功能来搜索病毒注入了哪些进程，最后将所有进程被注入部分全部Close Handle，最后删除病毒文件即可。 如果不大了解PROCESS EXPLORER的话，只能建议您升级杀毒软件，进行全盘病毒扫描（能检测出来病毒位置的话进入PE系统删除即可）。

雪花之家提供：http://blog.w5wk.com/清除~.pif病毒网摘1：（略）具体步骤是:运行gpedit.msc打开组策略-计算机配置-windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则" ．然后点击浏览找到木马文件,也就是c:\windows\smss.exe,安全级别选择"不允许的", 这样smss.exe就不会再运行了． 网摘2：最近要注意：~.pif 病毒。n多杀毒软件不报毒。我最近经常在客户的电脑中看到这个病毒。运行：msconfig在启动项里面有：~.pif删掉后。马上又会生成。原来在进程里有个：lsass.exe系统的：lsass.exe 是放在/windows/system32/这个lsass.exe 是放在/windows/system32/drivers/关掉：第二个lsass.exe进程。然后。再去把第二个的lsass.exe删掉。然后。再把启动项的。~.pif 删掉。 对付~．pif的具体操作步骤：1. 在"开始"菜单中点击打开"运行"对话框,输入"msconfig"后点"确定".查看"启动"标签下有没启动项目"~.pif",若有说明您的电脑已中此病毒,中了的话接着看下面的操作步骤.2. 打开"我的电脑"-"c盘" ,在/windows/system32/drivers/ 目录文件夹中有没有lsass.exe文件,若有说明电脑不能正常使用是由它引起的.看见它可恶,但先不要删除它.3. 再次打开"运行"对话框,输入"gpedit.msc",确定.4. 打开组策略-计算机配置-安全设置-选中"软件限制策略".在"操作"菜单中选择"创建新策略".5. 点选"其它规则",在右边窗口空白处右击,选择"新散列规则".6. 点击"浏览…",浏览到可恶的c:/windows/system32/drivers/lsass.exe ,打开.安全级别选择"不允许的".确定下来,这样lsass.exe就不会再运行了.7.最后像第1步一样,运行 msconfig ,去掉~.pif前的勾.确定下来重新启动电脑,大功告成不懂请联系我，网站里有联系方式

进入安全模式（开机按F8键进入），使用“超级巡警”全盘查杀，它来自DSWLAB数据安全实验室，专业反木马，流行病毒，后门程序，广告程序以及Rootikithttp://www.ttxzz.com/download/2.html进入下载页面后，可以去下载绿色版本的，不用浪费时间安装，解压就可以用了，是最新版的

Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应(挂起)。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。

不会吧?重新开机就步会了么?

关掉电脑进程的步骤如下：1在桌面任务栏右键点击启动任务管理器（K）2点击需要关掉的程序后，右键点击结束进程就可以。

如果怀疑系统存在病毒，建议您安装瑞星杀毒软件V16版本升级到最新病毒库后进行病毒扫描查杀，下载地址：http://pc.rising.com.cn/

我知道.结束他会重启电脑!!!

SMSS.EXE:SessionManagerSubsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN"="%WINDIR%SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可

在系统中主要负责会话管理子系统。这个进程作为计算机正常、稳定运行所必须的项目，不应被随意终止以免造成不必要的麻烦。 但请注意： 有些情况下你看到的smss.exe这一进程，实则为木马所注册。木马允许黑客远程访问您的计算机窃取密码，网上银行以及各种隐私数据。成为了一个极大的安全隐患。 截止今天，可牛杀毒安全中心监测到有为数不少的网游玩家的电脑感染了smss.exe病毒，造成smss.exe等系统文件丢失，以及网游账号被盗。现在使用可牛免费杀毒进行全盘扫描能够完美清除该病毒，修复系统文件。 因为其他安全软件查杀该病毒后并不修复系统文件，导致电脑出现smss.exe文件丢失使，可以使用可牛系统急救箱进行系统文件完美修复！ 盗号木马伪装smss.exe等系统文件伺机盗取网游账号 多数杀毒软件对这款盗号木马只能查杀但却不会进行修复，造成系统找不到smss.exe文件，导致运行网游时弹出系统文件丢失提示。从搜索引擎搜索量情况来看，网友对smss.exe文件的搜索量大幅度攀升，也可以确定网友对杀毒软件只是一味查杀而不管修复同样感到头疼。 2009年末，木马感染系统文件成为最新趋势。在过去，木马为了侵入网游，必须在启动项中进行加载，所以安全软件可以通过启动项检查发现是否有木马进入系统。而如上文所提到的通过感染smss.exe文件，从而将木马加载进网游进程的形势，可以绕过大多数安全软件的检测。这也是“系统文件感染病毒” 至今没有被主流杀软查杀的原因。

文件夹病毒，下专杀好了~

粉碎文件

windows根目录下不应该有SMSS.EXE程序，应该是病毒伪装的系统文件，设法删除windows根目录下的SMSS.EXE 。如果不能删除，用Unlocker全部解锁并删除。另外，搜索注册表，找到跟SMSS.EXE有关的键项，删除SMSS.EXE键值。

我的电脑→属性→高级→环境变量→系统变量, 你把你的路径新建在用户变量或者系统变量 里就OK了!SMSS.EXE:Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。

两种处理方法。第一种解决方式如下： 1、在安全模式下启动，删除有关“smss”及“vba”的启动项！ 2、用WINDOWS PE启动（没有PE就用安全模式似乎也可以，未做仔细测试）， 将搜索出来的所有“.VBS”、以及“smss*.vbs”文件删除，有的在资源管理器中看不到到winrar中删除即可！ 3、删除所有以文件夹命名的快捷方式（该病毒目前不传染子文件夹） 4、有的变种修改了“c:windowsexplorer.exe”及“c:windowssystem32smss.exe”文件， 最好到同样版本系统的机器上将这两个文件复制回来，没有相同版本的文件不复制应该也可以。 5、利用“kill_folder2.11”这个软件恢复所有被隐藏的文件夹，见附件！ 6、在注册表中删除所有有关“:.vba”的值中的“:.vba”字符！ 第二种，其实就是中了WSCRIPT.EXE这样伪病毒。WSCRIPT.EXE本身并不是病毒一些.VBS病毒、autorun.inf利用WSCRIPT.EXE传播。看你的情况像是.VBS的。方法1：1、重装系统，不动除C盘外的其它盘。完成后不要做任何其它操作。（如果C盘、桌面有重要文件，请先备份）2、关闭所有驱动器的自动运行功能，这步非常重要，如果不会，百度一下吧。3、显示出所有系统文件(不会的朋友先百度下)，用点击右键打开的方法，打开其它盘，就能看到快捷方式和病毒，这些可以全部删掉。(千万不要因为好奇或失误双击啊，不然系统就白装了)方法21 运行→gpedit.msc→计算机配置→windows设置→安全设置→软件限制策略→其他规则→点“操作”→新路径规则→点“浏览”找到在c：windowssystem32WSCRIPT.EXE→“安全级别”设为不允许的 2 用IceSword禁止进程创建。结束WSCRIPT.EXE和windowssystemsvchost.exe进程。3 然后设置把隐藏文件放出来，把所有盘（C:D:E:F:......）下的.vbs文件和快捷方式、autorun.inf都删掉4 修改注册表，显示被隐藏的正常文件夹。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue"=dword:00000001HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN"CheckedValue"=dword:000000025 删除病毒加载项：展开HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows删除load键值项的数据。6 如果我的电脑还不能双击打开，需要还原下系统这样都不行的话，那就只能格式化整个硬盘重装系统了。

通过名字是看不出 是不是病毒的 你可以给电脑下载个腾讯电脑管家的用管家全盘查杀下 管家是集“杀毒+管理”，系统安全防护于一身，自带系统修复引擎的杀毒软件，可以在杀毒后自动修复系统文件管家独有的二代反病毒引擎，防护查杀更彻底管家拥有全球最大的云库平台，能更好的识别钓鱼网站管家独创鹰眼模式，时刻保护您的爱机不受侵害

smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

很有可能杀一下

查看进程中是否有成双的lsass.exe和smss.exe进程，进入cmd命令行格式下，定位到c盘的system32com目录下，用attrib命令查看是否有netcfg.000,netctg.dll,smss.exe,lsass.exe和以000开头的.log文件，再定位到各盘符的根目录下面，同样用attrib命令看下是否有pagefile.pif和autorun.inf文件，如果有上述的文件和进程特征，则系统已经被病毒感染。2.刻录一张可以进入纯dos的PE盘，进入纯dos状态，定位到步骤1中所提到的文件名，用attrib和del命令做混合删除，其中attrib命令用于更改上述文件的属性，把病毒文件的属性修改完后，用del命令做删除。现发一实例如下（假设发现并删除lsass.exe文件,上行讲解，下行演示）在dos下进入c:windowssystem32com目录cd windowssystem32com查看该目录下具有属性的文件attrib 清除lsass.exe文件的属性attrib -s –h c:windowssystem32comlsass.exe(注：一定要写绝对路径，相对路径删除不起作用)删除lsass.exe文件del c:windowssystem32comlsass.exe(注：同上)(注：如果是在server系统中，实例中的windows改为winnt)3.按照实例的方法删除第1步中所提到的文件。4.重新启动系统直接进入到PE状态，删除c:documents and settings目录下的所有帐户的temp，templates和cookies文件夹，删除各用户下localsttings文件里的history,temp和temprary internet files文件夹。如发现ntuser.dat和ntuser文件也删除。清空浏览器中的文件，清空c:windows目录下的temp和prefetch文件夹。5.重新启动系统进入正常模式，安装杀毒软件（目前McAfee已经可以查杀此病毒），并作全盘扫面以修复受感染的文件。6.系统恢复正常。

点左下角的开始－运行－msconfig－启动，找到启动项里面的c:windowssmss.exe，把前面的勾去除，就可以。

手表用这两种型号的区别还是比较大的，最主要的是他们两个，一个是先进款，一个是基础款，所以他们的价钱也是相差很大的

Pubwin2007安装之后，系统进程中会产生一个Seed.exe的进程，很多人都不知道这个进程到底是干嘛用的，有人说可能是中病毒了。呵呵~~其实不是的，这只是Pubwin2007系统自带的一个进程而己，pubwin2007有一个新的功能，就是客户端统一（一起）升级，也就是添加了从服务端升级客户端的功能，Seed.exe就是为了这个升级功能而存在的，如果结束掉这个进程，就无法从服务端统一升级客户端啦。。。。如果你不需要统一升级也就不需要这个进程，可以安全结束，安装目录中Seed文件夹也可以安全删除。。。。SMSS.EXE(Session Manager Subsystem)，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%SMSS.EXE"，那就可以肯定是中了病毒或木马了。清除方法：1. 运行Procexp.exe和SREng.exe2. 用ProceXP结束%Windows%SMSS.EXE进程，注意路径和图标3. 用SREng恢复EXE文件关联1,2,3步要注意顺序，不要颠倒。4. 可以删除文件和启动项了……要删除的清单请见: http://www.pxue.com/Html/736.html删除的启动项：Code:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]"TProgram"="%Windows%SMSS.EXE"[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]"TProgram"="%Windows%SMSS.EXE"[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]"Shell"="Explorer.exe 1"修改为："Shell"="Explorer.exe"删除的文件就是一开始说的那些，别删错就行5. 最后打开注册表编辑器，恢复被修改的信息：查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:Program FilesInternet Exploreriexplore.exe”。关于SMSS.EXE进程的描述：进程文件： smss or smss.exe 进程名称： Session Manager Subsystem 进程类别：其他进程英文描述：Code:smss.exe is a process which is a part of the Microsoft Windows Operating System. It is called the Session Manager SubSystem and is responsible for handling sessions on your system. This program is important for the stable and secure running of your comp 中文参考： Code:smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。出品者：Microsoft Corp. 属于：Microsoft Windows Operating System 系统进程：Yes 后台程序：Yes 网络相关：No 常见错误：N/A 内存使用：N/A 安全等级 (0-5): 0 间谍软件：No 广告软件：No 病毒：No 木马：No

http://www.heyingworld.bokee.com/3653545.html

电脑左上角的一个风扇灰尘多了，杀毒一下

一楼说的没错那时磁碟机病毒我朋友也中过这个毒 重装系统还是会感染 症状：1.进程中两个lsass和smss进程2.杀毒软件崩溃（磁碟机变种病毒同av终结者一样猛）3.无数exe文件损坏4.系统机容易死机5.磁盘根目录下有pagefile.pif 和autorun.ini删除又会产生这个问题已经解决 当时帮同学重装系统后 又中。。。。简直无语后来再装后 下了专杀全盘杀了一次 就好了(重装后千万别打开驱动器 不然又要中毒)一楼给的下载地址应该行的但是不知道下载后会不会被病毒破坏...祝你好运

进程文件: smss or smss.exe 进程名称: Session Manager Subsystem 描 述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。 简 介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程是正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂机）。如有问题你可以下载360安全卫士，扫描系统可凝文件、实时保护系统。

这些都是系统程序下面我给你解释下：【Smss】：只有45KB的大小却占据着300KB到2MB的内存空间，这是一个Windows的核心进程之一，是windows NT内核的会话管理程序。【Csrss】：这是Windows的核心部份之一，全称为Client Server Process。我们不能结束该进程。这个只有4K的进程经常消耗3MB到6MB左右的内存，建议不要修改此进程，让它运行好了【Winlogon】：这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关系，我曾亲眼看见这个进程占用空间的波动情况，一个是登录一个小时左右，内存在1.7MB到8.5MB之间波动；另一个登录了40多天，内存在1.7MB到17MB之间波动。lsass 和services都是系统的正常服务，如果你决得系统不对劲的话，那有可能是病毒替换这些进程