判断进程是否感染病毒和杀毒技巧

1、编号：时间：2021年x月x日学海无涯页码：第7页 共7页判断进程是否感染病毒和杀毒技巧smss.exe进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的winlogon，win32(csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后，它等待winlogon或者csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应(挂起)。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是“%windir%smss.exe”，那就可以肯定是中了病毒或木马了。清除方法：1. 运行proc

2、exp.exe和sreng.exe2. 用procexp结束%windows%smss.exe进程，注意路径和图标3. 用sreng恢复exe文件关联(1,2,3步要注意顺序，不要颠倒。)4. 可以删除文件和启动项了结束病毒的进程%windows%smss.exe(用进程管理软件可以结束，如：process viewer) 删除相关文件：c:msconfig.sys%windows%.com%windows%exeroute.exe%windows%windows%windows%smss.exe%windows%debugdebugprogram.exe%system%command.pif

3、%system%system%system%msconfig.com%system%system%programfiles%internet e%programfiles%common filesiexplore.pif 恢复exe文件关联删除hkey_classes_rootwinfiles项 删除病毒启动项：hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun“torjan program”=“%windows%smss.exe”修改hkey_local_machinesoftwaremicrosoftwindows ntc

4、urrentversionwinlogon下“shell”=“explorer.exe 1”为“shell”=“explorer.exe” 恢复病毒修改的注册表信息：(1)分别查找“command.pif”、“”、“”的信息，将“command.pif”、“”、“”修改为“rundll32.exe”(2)查找“”的信息，将“”修改为“explorer.exe”(3)查找“”的信息，将“”修改为“iexplore.exe”(4)查找“iexplore.pif”的信息，将找到的“%programfiles%common filesiexplore.pif”修改为“%programfiles%int

5、ernet exploreriexplore.exe” 在command模式下写入assoc .exe=exefile修复exe关联，这样exe文件才可以打的开删除的启动项：hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun“tprogram”=“%windows%smss.exe”hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunservices“tprogram”=“%windows%smss.exe”hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwinlogon“shell”=“explorer.exe 1”修改为：“shell”=“explorer.exe”删除的文件就是一开始说的那些，别删错就行5. 最后打开注册表编辑器，恢复被修改的信息：查找“”，把找到的“”修改为“explorer.exe”;查找“”、“command.pif”、“”，把找到的“”、“command.pif”、“”修改为“rundll32.exe”;查找“”，把找到的“”修改为“iexplore.exe”;查找“iexplore.pif”，把找到的“