本文目录索引

• 1，文件夹EXE病毒 恢复原文件
• 2，病毒exe恢复文件
• 3，我也中了smss.exe 这个木马怎么才能完全清除
• 4，SMSS.EXE病毒怎么处理
• 5，该快捷方式所指向的项目“StormII.exe”已经更改或移动，因此快捷方式无法正常工作 是否删除该快捷方式？

1，文件夹EXE病毒 恢复原文件

确实是被隐藏了，只是隐藏的深度比你想像的更深——在你说的那个设置那里，还显示不出来。我告诉你我的经验：你从开始菜单里面打开winrar（这个压缩软件你电脑上应该有装吧？），在这软件的下半部份其实就是个资源管理器。在这里面浏览到你的移动硬盘，就可以看到被病毒隐藏的文件夹了。在它上面点右键，在属性里面把它的所有属性都去掉再确定，就可以了。
（你在文件夹设置里面，有一项“隐藏受保护的操作系统文件”这前面如果有勾上，一定要去掉，不然也看不到的）

2，病毒exe恢复文件

呵呵，你这明显是中了autorun的病毒，什么都变成exe了。这些exe文件只是病毒复制的镜像而已，而真正的文件被病毒隐藏了。所以当病毒被杀掉之后，镜像就被删了。所以就没有任何文件了，真正的文件很有可能就被病毒隐藏了，你看不到。你先看看u盘的使用空间是不是被占用了，如果占用了，却找不到文件的话，建议下载total commander 软件，找到这些隐藏的文件，然后把属性改成可见就行了，真的不行，就下载个文件恢复大师恢复一下。

3，我也中了smss.exe 这个木马怎么才能完全清除

1、按F8进入安全模式，用360选全盘扫描2、杀不掉的木马用粉碎3、还不行就通过360的论坛上报杀不了的木马4、修补所有的漏洞5、下载顽固木马专杀大全6、重启动按F8进入安全模式7、使用顽固木马专杀大全查杀（选择强力模式、注意如果它叫您重启动就一定要按照他所说的去做8、使用360系统急救箱急救系统完9、下载360安全浏览器并且以后都要用这个浏览器上网要访问木马网占就用隔离模式10、从注册表中查找病毒文件名，然后删除。删除完再检测，直到没有了为止11、再重新启动。OK 。

4，SMSS.EXE病毒怎么处理

如果只有一个是正常的。
如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可
--------------------
进程文件: smss or smss.exe

进程名称: Session Manager Subsystem

描 述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。

简 介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。
------------------------------------------
SMSS.EXE病毒处理 ：

SMSS.EXE(Session Manager Subsystem)，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就可以肯定是中了病毒或木马了。

清除方法：

1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了……

要删除的清单请见: http://www.pxue.com/Html/736.html
删除的启动项：

Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为：
"Shell"="Explorer.exe"


删除的文件就是一开始说的那些，别删错就行

5. 最后打开注册表编辑器，恢复被修改的信息：
查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；
查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；
查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；
查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。

关于SMSS.EXE进程的描述：


中文参考：

Code:
smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。
清除的方法请见:http://www.pxue.com/Html/729.html
1. 结束病毒的进程%Windows%\smss.exe（用进程管理软件可以结束，如：Process viewer）

2. 删除相关文件：
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif

3. 恢复EXE文件关联
删除[HKEY_CLASSES_ROOT\winfiles]项

4. 删除病毒启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"

5. 恢复病毒修改的注册表信息：
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”

(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”

(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”

(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”


6 在command模式下写入assoc .exe=exefile
修复exe关联，这样exe文件才可以打的开

--------------------------------------------------------------------------------

QQ尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒：

进程文件: smss.exe
进程名称: PWSteal.Wowcraft.b木马病毒
英文描述: N/A
进程分析: QQ尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动，并将病毒模块regsvr.dll，cn_spi.dll注入进程运行。

安全等级 (0-5): 0 (N/A无危险 5最危险)
间碟软件: 是
广告软件: 是
病毒: 是
木马: 是

系统进程: 否
应用程序: 否
后台程序: 是
使用访问: 是
访问互联网: 否

描述: 如果系统中出现了不只一个 smss.exe 进程，而且有的 smss.exe 路径位于 Windows 目录，那有可能是中了 TrojanClicker.Nogard.a 病毒，这是一种 Windows 下的 PE 病毒，它采用 VB6 编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件 WIN.INI，并在 [WINDOWS] 项中加入 "RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程 smss.exe，再删除 Windows 目录下的 smss.exe 文件，然后清除它在注册表和 WIN.INI 文件中的相关项即可。

5，该快捷方式所指向的项目“StormII.exe”已经更改或移动，因此快捷方式无法正常工作 是否删除该快捷方式？

1 百度搜索 金山网盾（第一个就是）下载

2 安装金山网盾3.6后，点击“一键修复”使用全面修复功能

3 扫描完成以后点击【立即处理】按钮，修复完成以后，根据提示重启系统或者【F5】刷新桌面

如果安装以后金山网盾快捷方式不能打开，请尝试手工执行

（1）你可以到金山网盾的安装目录（一般是C:\Program Files\Kingsoft\WebShield）

(2）运行金山网盾主程序 kwsmain.exe执行扫描清除

注意，360会拦截金山网盾安装，如果你有360，请先打开360木马防火墙，点击进程防火墙的已开启按钮暂时关闭
（如发现网盾不能扫描，请在任务栏右键退出360的托盘)