svchost进程病毒(进程表里能看出病毒吗)

Csrss.exe进程由系统进程初始化并反映许多活动，包括Winlogon，Win32(Csrss.exe)线程已经在运行并设置系统变量。在它开始这些过程后，

它等待Winlogon或Csrss结束。如果这些过程正常，则系统关闭。如果发生意外，smss.exe将使系统停止响应(挂起)。

注意：如果系统中有多个smss.exe进程，并且某些smss.exe路径是“%WINDIR%SMSS”。EXE”，可以肯定的是你已经被病毒或者木马感染了。

清洁方法：

1.运行Procexp.exe和SREng.exe

2.结束%Windows%SMSS的进程。请注意路径和图标。

3.用SREng恢复EXE文件关联(1，2，3步要注意顺序，不能颠倒。)

4.您可以删除文件和启动项目.

结束病毒进程%Windows%smss.exe(可以用进程管理软件结束，比如进程查看器)。

删除相关文件：

C:MSCONFIG.SYS

%Windows%.com

%Windows%ExERoute.exe

%Windows%explorer.com

%Windows%finder.com

%Windows%smss.exe

%Windows%DebugDebugProgram.exe

%System%command.pif

%System%dxdiag.com

%System%finder.com

%System%MSCONFIG.COM

%System%regedit.com

%System%rundll32.com

%ProgramFiles%Internet Exploreriexplore.com

%ProgramFiles%Common Filesiexplore.pif

恢复EXE文件关联。

Delete [HKEY _ class _ root file]

(4)删除病毒启动项：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

“托尔詹程序"="%Windows%smss.exe "

修改[HKEY本地_机器软件微软windows NTCurrentVersionWinlogon]下

" shell"="Explorer.exe 1 "

为

" shell"="Explorer.exe "

恢复被病毒修改的注册表信息：

(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，

将“command.pif”、“finder.com”、“rundll32.com”修改为《rundll32.exe》

(2)查找《explorer.com》的信息，将《explorer.com》修改为《explorer.exe》

(3)查找《iexplore.com》的信息，将《iexplore.com》修改为《iexplore.exe》

(4)搜索“iexplore.pif”的信息，

将找到的“%ProgramFiles%Common Filesiexplore.pif”修改为“%ProgramFiles%Internet Exploreriexplore.exe”

在command模式下写入assoc .exe=exefile

修复exe关联，这样exe文件才可以打的开

删除的启动项：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

“TProgram”=“%Windows%SMSS.EXE”

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]

“TProgram”=“%Windows%SMSS.EXE”

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

“Shell”=“Explorer.exe 1”

修改为：

“Shell”=“Explorer.exe”

删除的文件就是一开始说的那些，别删错就行

5. 最后打开注册表编辑器，恢复被修改的信息：

查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”;

查找“finder.com”、“command.pif”、“rundll32.com”，

把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;

查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”;

查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，

比如“C:Program FilesInternet Exploreriexplore.exe”。