¡Urgente! ! ! ! ¡Pide ayuda a los expertos! ! ¡Recompensa por puntuación alta!
Es normal si solo hay un smss.exe.
Si hay más de un proceso smss.exe en el sistema y la ruta de algún smss.exe es "%WINDIR%\SMSS.EXE", significa que ha sido infectado por TrojanClicker. El virus .Nogard.a es un virus PE en Windows, escrito en VB6, es un virus troyano que accede automáticamente a un determinado sitio. El virus agregará sus propios elementos de inicio en muchos lugares del registro, modificará el archivo del sistema WIN.INI y agregará "RUN" = "%WINDIR%\SMSS.EXE" al elemento [WINDOWS]. Cuando limpie manualmente, primero finalice el proceso de virus smss.exe, luego elimine el archivo smss.exe en %WINDIR% y luego borre sus elementos relacionados en el registro y en el archivo WIN.INI
-- - -----------------
Archivo de proceso: smss o smss.exe
Nombre del proceso: Subsistema de administrador de sesiones
Descripción: Este proceso es utilizado por el subsistema de administración de sesiones para inicializar las variables del sistema. Los nombres de los controladores de MS-DOS son similares a LPT1 y COM. Llama al subsistema de shell Win32 y se ejecuta en el proceso de inicio de sesión de Windows.
Introducción: Es un subsistema de gestión de sesiones responsable de iniciar sesiones de usuario. Este proceso es inicializado por el proceso del sistema y refleja muchas actividades, incluidas las que ya están ejecutando subprocesos de Winlogon, Win32 (Csrss.exe) y la configuración de variables del sistema. Después de iniciar estos procesos, espera a que finalice Winlogon o Csrss. Si estos procesos son normales, el sistema se apaga. Si sucede algo inesperado, smss.exe hará que el sistema deje de responder (es decir, se cuelgue).
------------------------------------------- --
Procesamiento de virus SMSS.EXE:
SMSS.EXE (Subsistema de administrador de sesiones), este proceso se utiliza para inicializar las variables del sistema para los nombres del controlador de MS-DOS. son similares a LPT1 y COM, llama al subsistema de shell Win32 y ejecuta el proceso de inicio de sesión de Windows. Es un subsistema de gestión de sesiones responsable de iniciar sesiones de usuario. Este proceso es inicializado por el proceso del sistema y refleja muchas actividades, incluidas las que ya están ejecutando subprocesos de Winlogon, Win32 (Csrss.exe) y la configuración de variables del sistema. Después de iniciar estos procesos, espera a que finalice Winlogon o Csrss. Si estos procesos son normales, el sistema se apaga. Si sucede algo inesperado, smss.exe hará que el sistema deje de responder (se cuelgue). Nota: Si hay más de un proceso smss.exe en el sistema y algunas rutas de smss.exe son "%WINDIR%\SMSS.EXE", entonces definitivamente está infectado por un virus o un caballo de Troya.
Método de limpieza:
1. Ejecute Procexp.exe y SREng.exe
2. Utilice ProceXP para finalizar el proceso %Windows%\SMSS.EXE. preste atención a la ruta y al ícono
3. Utilice SREng para restaurar la asociación del archivo EXE
Preste atención al orden de los pasos 1, 2 y 3 y no los invierta.
4. Puede eliminar archivos y elementos de inicio...
Para eliminar la lista, consulte: Proceso de inyección _spi.dll en ejecución.
Nivel de seguridad (0-5): 0 (N/A no peligroso, 5 más peligroso)
Diskware: Sí
Adware: Sí
Virus: Sí
Troyano: Sí
Proceso del sistema: No
Aplicación: No
Programa en segundo plano: Sí
Acceso mediante: Sí
Acceso a Internet: No
Descripción: Si hay más de un proceso smss.exe en el sistema y algunos smss. exe se encuentra en el directorio de Windows, por lo que puede estar infectado por el virus TrojanClicker.Nogard.a, que es un virus PE en Windows. Está escrito en VB6 y es un virus troyano que accede automáticamente a un sitio. El virus agregará sus propios elementos de inicio en muchos lugares del registro, modificará el archivo del sistema WIN.INI y agregará "RUN" = "%WINDIR%\SMSS.EXE" al elemento [WINDOWS]. Al realizar la eliminación manual, primero finalice el proceso del virus smss.exe, luego elimine el archivo smss.exe en el directorio de Windows y luego borre sus entradas relacionadas en el registro y el archivo WIN.INI.
Compruebe y elimine manualmente el troyano csrss.exe
Nota: el proceso csrss.exe pertenece al proceso del sistema. El troyano csrss.exe mencionado aquí es un troyano disfrazado de troyano. proceso del sistema
Hace dos días, de repente descubrí que había un archivo rundll32.exe adicional en C:\Program Files\. Recuerdo que este programa trata de iniciar sesión, encenderlo y apagarlo, y no debería estar aquí. Además, su ícono es el antiguo ícono de bloc de notas de notepad.exe en 1998, que es muy llamativo en mi sistema de 2003. Pero en ese momento no me importó. Como normalmente no siento que el sistema sea inestable, no noto mucha memoria ni uso de CPU, y el tráfico de red es normal.
En los últimos dos días, descubrí que los procesos rundll32.exe y csrss.exe se agregaron al administrador de tareas. La diferencia entre este y el proceso del sistema es que el usuario es Administrador, que es el nombre de usuario con el que inicié sesión, no sistema. Además, sus nombres están en minúsculas, mientras que los procesos iniciados por SISTEMA están todos en mayúsculas RUNDLL32.EXE y. CSRSS.EXE. Algo no se siente bien.
Luego presione F3 y use la función de búsqueda del administrador de recursos para encontrar csrss.exe. Efectivamente, está en C:\Windows, el tamaño es 52736 bytes y el tiempo de generación es 12:37. el 9 de diciembre. El csrss.exe real tiene sólo 4k, se generó a las 12:00 del 27 de marzo de 2003 y se encuentra en C:\Windows\Syetem32.
Así que lo abrí con el súper invencible UltraEdit y descubrí que dentro había caracteres como kavscr.exe y mailmonitor. Estos son los nombres de los procesos de Kingsoft Antivirus. Hay personajes de SelfProtect unas líneas antes de este personaje. Los programas relacionados con el software antivirus y de autoprotección son virus o caballos de Troya. ¡Destruir!
El intento de finalizar el proceso csrss.exe usando el Administrador de tareas falló, diciendo que es un proceso crítico para el sistema. El registro avanzado elimina los valores correspondientes en [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] y v[Runservice], cierra la sesión y vuelve a iniciarla. El proceso desaparece, lo que muestra que no está cargado como un controlador. 3721.
Luego busca archivos relacionados con él. Aún usando la función de búsqueda del sistema, busque todos los archivos generados el 9 de diciembre y luego vea que csrss.exe, rundll32.exe y kavsrc.exe se generaron a las 12:37, pero el ícono de kavsrc.exe también es el Bloc de notas en 98 El tamaño del icono, tanto éste como rundll32.exe, es de 33792 bytes.
Luego se generó un archivo tmp.dat a las 12:38, el contenido está
@echo off
debug C:\DOCUME~1\ADMINI ~ 1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copiar C:\DOCUME~1\ADMINI~1 \ LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C : \DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C: \ DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS \ system32\netstart.exe
Parece que algún programa fue compilado usando debug. Es raro usar debug hoy en día. Probablemente no sea un problema, porque todos los programadores comerciales usan programas grandes como Delphi y. PB para escribir software.
El ensamblaje tomó aproximadamente 1 minuto y se generaron netstart.exe, WinSocks.dll, netserv.exe y un archivo tmp.out de 0 bytes a las 12:39. El tamaño de netstart.exe es 117786 bytes y los otros dos tamaños también son 52736 bytes. Los dos primeros se encuentran en C:\Windows\System32 y los dos últimos se encuentran en la carpeta Temp del usuario actual.
De esta manera sé por qué mi sistema no muestra signos de infección. netstart.exe no se ejecuta todo el tiempo porque no lo veo en el administrador de tareas. Elimine todos estos archivos. Mi método es usar winrar para comprimir y eliminar los archivos fuente después de seleccionarlos. Luego explíquelos en los comentarios de los archivos rar y colóquelos en una carpeta para futuras investigaciones. Esta prisión está llena de mis trofeos, pero son muy pocos.
El troyano ya ha sido eliminado. Utilicé un motor de búsqueda para buscar contenido sobre csrss.exe y encontré muchos resultados, incluido el virus QQ, el legendario troyano de robo de cuentas y el virus del juego Sina, pero el tamaño del archivo era diferente al que tenía. La búsqueda de netstart.exe sólo da como resultado un sitio web japonés, que también es un caballo de Troya.
¿Cómo llegó este virus a mi ordenador? Al buscar, descubrí que se generó un acceso directo a las 12:36 del 9 de diciembre, llamado dos71cd.zip. Era el CD de inicio de la versión DOS7.11 que descargué de un sitio web ese día, pero la descarga falló en ese momento. Ahora parece que no es un fallo en absoluto, sino que el enlace a este sitio web es originalmente un programa de inyección de páginas web y el virus se descarga directamente después de hacer clic en él.
lsass.exe no es un virus
Solución del virus Services.exe Win32.troj.QQDragon.bl
Énfasis en los siguientes elementos que deben eliminarse
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"services"="%WINDOWS%\services.exe"
[HKEY_CURRENT_USER\Software \ Microsoft\Windows\CurrentVersion\Runservices]
"services"="%WINDOWS%\services.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"Ejecutar"="%WINDOWS%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"servicios" = "%WINDOWS%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"services"="%WINDOWS%\services.exe"
%WINDOWS% significa c:\windows o d:\windows. Depende del disco del sistema en el que esté instalado su sistema. Por lo general, es la unidad C
El proceso normal del sistema winlogon, su nombre de usuario es "SYSTEM" y el nombre del programa es winlogon.exe en minúsculas.
El nombre de usuario del programa troyano disfrazado de este proceso es el nombre de usuario actual del sistema y el nombre del programa es WINLOGON.exe en letras mayúsculas.
Ver el proceso usando ctrl+alt+del y luego seleccionar el proceso. En circunstancias normales, solo existe un proceso winlogon.exe y su nombre de usuario es "SISTEMA". Si aparecen dos winlogon.exe, uno de ellos en mayúsculas y el nombre de usuario es el usuario actual del sistema, indica que puede haber un troyano.
Este troyano es muy potente y puede destruir la estrella troyana e impedir que funcione con normalidad. Actualmente, no he podido detectarlo con otro software antivirus.
WINLOGON.EXE en WINDOWS es de hecho un virus, pero es solo una pequeña función de este virus. Abra la unidad D y vea si hay un archivo de paginación de DOS y un archivo autorun.inf. , jaja, por supuesto que están todos ocultos. Es inútil eliminarlos porque están asociados con muchas cosas, incluso en modo seguro, es difícil acceder a ellos siempre que ejecute cualquier programa o haga doble clic para abrir. Unidad D, se eliminará nuevamente. Instalada, jaja, muchas personas han sido robadas durante este período debido a esta reliquia descifrada y el software antivirus no puede detectarlo. Algunas personas llaman a este virus "Luoxue". Caballo especialmente diseñado para robar el mundo de las leyendas. En cuanto a si robará otras cosas, el número de cuenta es como QQ, y la banca en línea la hace feliz Jaja, supongo que están todos registrados juntos.
Si no le temen a los virus y desea reducir las pérdidas, lo mejor es activar el firewall para bloquear todas, excepto algunas tareas comunes en las que confía. Por supuesto, es mejor hacer una copia de seguridad lo antes posible y luego cerrar. la puerta al antivirus
Incluidos los modificados por Fang Xin y otros 51pywg Heirloom, y todos los demás complementos que descifraron, el más sospechoso esta vez es 51PYWG. En cuanto a otros sitios web cooperativos, lo es. Estimó que no pueden escapar de la relación, especialmente el sitio web Fangxin, que se ha confirmado que ha colocado troyanos en el sitio web muchas veces, aunque explicó que ha sido pirateado, pero no se pueden descartar otras posibilidades. Tenga especial cuidado con los complementos que. conectarse a sitios web después del inicio No descarta que el iniciador en sí sea venenoso. De todos modos, en una palabra, el software de craqueo que se conecta a un sitio web después del inicio es más probable que sea venenoso. En cuanto a la cantidad de horas al día, depende de lo cómodo que sea. Intente utilizar una versión completamente local descifrada y verificada. Aunque la alianza afiliada aún no se ha enterado de que haya sido lanzada o lanzada por sí misma, debe hacerlo. Tenga cuidado, recientemente a muchas personas en Legend World les han pirateado sus cuentas, apuntando a estos sitios web. El siguiente es el método para eliminar el virus de piratería de cuentas WINLOGON.EXE, recientemente particularmente venenoso. Tenga en cuenta que este WINLOGON.EXE falso está en WINDOWS. El proceso muestra el winlogon.exe actual del usuario o ADMINISTRADOR. Otro SISTEMA es normal. No lo elimine al azar. Mire claramente el primero en mayúsculas y el último en minúsculas. El destino de este archivo es Henan.
Cómo solucionar el virus "Luoxue"
Síntoma: la unidad D no se puede abrir haciendo doble clic y contiene archivos autorun.inf y pagefile.com
Cómo resolver este virus La persona es demasiado fuerte, ¡ni siquiera usar Administrador en modo seguro puede resolverlo! Después de una tarde de duro trabajo, finalmente se solucionó. No utilicé ningún software para eliminar troyanos, simplemente los seleccioné manualmente uno por uno y los eliminé. Los archivos con los que está asociado son los siguientes. La mayoría de los archivos se muestran como archivos del sistema y están ocultos. Entonces active Mostrar archivos ocultos en las opciones de carpeta.
Solo hay dos en la unidad D, por lo que es imposible hacer doble clic para abrir la unidad D. ¡Hay muchas cosas en la unidad C!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Archivos de programa\Archivos comunes\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe (Olvidé este nombre, el ícono rojo tiene el ícono del mundo legendario)
C: \WINDOWS \Debug\*** Programme.exe (también el ícono de arriba, olvidé el nombre -_- es muy grande y obviamente no está oculto)
C:\Windows\system32\command.com tómelo a la ligera. Elimínelo y vea si es diferente de las siguientes fechas pero igual que las fechas de otros archivos. Si es la misma fecha que otros archivos y la mayoría de los archivos del sistema, no se puede eliminar. no de este período de tiempo.
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag. es
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a .exe
Por cierto, mira las fechas de estos archivos y mira si hay archivos de la misma época en otro lugar o archivos sospechosos que terminen en .COM. Ten cuidado de no ejecutar ningún programa, o se inicia. nuevamente, incluido hacer doble clic en el disco
¡También hay un archivo número uno! WINLOGON.EXE! ¡El propósito de hacer tanto trabajo es matarla! ! !
C:\Windows\WINLOGON.EXE
Esto se puede ver en el proceso. Hay dos, uno es verdadero y el otro es falso.
El real es winlogon.exe en minúsculas, (no sé si el tuyo es el mismo), y el nombre de usuario es SYSTEM
El falso es WINLOGON. .EXE en mayúsculas y el nombre de usuario es usted mismo.
Este archivo no se puede abortar en el proceso. Se dice que el proceso clave no se puede abortar, ¡pero es como la verdad! ¡Incluso en modo seguro
permanecerá en tu proceso! Esto es todo lo que sé ahora. Si no se siente cómodo, es mejor mirar la fecha de modificación de uno de los archivos y luego usar "Buscar" para buscar los archivos modificados ese día. muchos archivos al mismo tiempo, incluso el sistema. ¡Está todo en la carpeta de restauración! ! Estos archivos se asociarán por sí mismos. Si elimina algunos de ellos, ejecuta uno accidentalmente o ejecuta comandos como msocnfig, comando y regedit en Inicio-Ejecutar, ¡todos estos archivos se repondrán por sí solos!
Después de conocer estos archivos, primero cierre todos los programas que se puedan cerrar, abra el Explorador de WINDOWS en el archivo adjunto del programa y configure la vista en las opciones de carpeta en la herramienta anterior para mostrar todos los archivos y archivos Falso, muestre los archivos protegidos del sistema operativo, luego abra la ejecución del menú de inicio, ingrese el comando regedit, ingrese al registro, vaya a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dentro, hay un programa Torjan, que dice claramente "Soy un caballo de Troya", ¡bórralo! !
¡Entonces cierra sesión! Después de volver a ingresar al sistema, abra el "Administrador de tareas" y vea si hay rundll32. Si lo hay, cancele primero. No sé si esto es verdadero o falso, así que tenga cuidado. Vaya a la unidad D (¡tenga cuidado de no hacer doble clic para ingresar! De lo contrario, el virus se activará nuevamente), haga clic derecho, seleccione "Abrir", elimine autorun.inf y pagefile.com,
Luego vaya a la unidad C y elimine los archivos enumerados anteriormente. ¡Elimine todos los archivos que salgan! ¡Tenga cuidado de no hacer doble clic en uno de los archivos durante el proceso, de lo contrario tendrá que comenzar todos los pasos nuevamente! Luego cierre sesión nuevamente.
Mientras estaba peleando, después de eliminar esos archivos, no se pudieron abrir todos los archivos exe, ni tampoco pude ejecutar cmd.
Luego, vaya a C:\Windows\system32 y copie el archivo cmd.exe. Por ejemplo, vaya al escritorio y cámbiele el nombre a cmd.com. Oye, también usaré archivos com. luego haga doble clic en el archivo COM
p>
Luego podrá ingresar el símbolo del sistema en DOS.
Ingrese el siguiente comando:
assoc .exe=exefile (hay un espacio entre assoc y .exe)
ftype exefile="%1" % *
De esta manera se puede ejecutar el archivo exe.
Si no sabe cómo escribir comandos, simplemente abra CMD.COM, copie las dos líneas anteriores y péguelas dos veces para ejecutarlas.
Pero después de terminar de hacer esto, sería un poco lento ingresar al usuario al iniciar y aparecía un cuadro de advertencia que decía que no se podía encontrar el archivo "1". (Debería ser el archivo 1.com en Windows). Finalmente, use software como Internet Assistant para reparar completamente la configuración de IE
Finalmente, hablemos de cómo resolver el problema que el archivo "1. com" no se puede encontrar al arrancar. :
Ejecute "regedit" en el programa en ejecución, abra el registro y en [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Cambiar "Shell"=" Explorer.exe 1" se restaura a "Shell"="Explorer.exe"
¡Listo! ¡Compártelo con todos!
Si es WINLOGiN.EXE, debería ser un virus. Generalmente está en c:/windows y el ícono es obviamente diferente~~ Se puede eliminar manualmente. con él en la misma carpeta Los íconos son los mismos y deben eliminarse juntos; de lo contrario, WINLOGON.EXE se generará automáticamente después de eliminarlo y reiniciarlo. El proceso normal del sistema winlogon.exe se encuentra en c:/windows/system32
.El proceso del virus es winlogin.exe y winlogon.exe es un proceso normal, todos deberían verlo claramente.
winlogon - winlogon.exe - información del proceso
Archivo de proceso. : winlogon o winlogon.exe
Nombre del proceso: proceso de inicio de sesión de Microsoft Windows
Descripción:
WinLogon.exe es el administrador de inicio de sesión de Windows NT. Se utiliza para manejar el proceso de inicio de sesión y de inicio de sesión de su sistema. El papel de este proceso en su sistema es muy importante. Nota: winlogon.exe también puede ser el gusano W32.Netsky.D@mm. El virus se propaga a través del correo electrónico y usted quedará infectado cuando abra el archivo adjunto enviado por el virus. El virus crea un motor SMTP en la computadora de la víctima y envía correos electrónicos masivos para propagarse. El virus permite a los atacantes acceder a su computadora y robar contraseñas y datos personales. Se recomienda eliminar el nivel de seguridad de este proceso