Ответы Mail.ru
Компьютеры, Связь
Железо
Интернет
Мобильная связь
Мобильные устройства
Офисная техника
Программное обеспечение
Прочее компьютерное
Лидеры категории
Лена-пена
М.И.
Y.Nine
•••
Искусственный Интеллект
Искусственный Интеллект
Искусственный Интеллект
Файлы smss.exe -вирус?
Savannah)
(1228),
закрыт
13 лет назад
У меняна компе avast начал при каждой загрузке выдавать, - обнаружен червь! Притом в в виндоусе, на диске d, система 32. comodo же показывает, - появился непонятный объект винлоган, а его новый родитель, - smss.exe. Мне показалось это подозрительным, червь скользит по системе 32, к тому же оказалось, что на компе 2 файла smss.exe - на диске d и на диске c, оба в системе 32. Подскажите, возможно что-то надо удалить? И вирус ли это вообще?
Лучший ответ
Житель Столицы
(13810)
15 лет назад
троянская программа. Является приложением Windows (PE EXE-файл) . Имеет размер 117248 байт. Упакована при помощи UPX. Распакованный размер — около 280 КБ. Написана на Visual Basic.
Инсталляция
После запуска троянец создает в системном каталоге Windows каталог с именем "DETER177" и копирует в него свое тело под именами "lsass.exe", "smss.exe" и "svсhоst.exe":
%System%\DETER177\lsass.exe
%System%\DETER177\smss.exe
%System%\DETER177\svсhоst.exe
После этого меняет атрибуты каталога и созданных файлов на "скрытые" и "системные".
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows).
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер) .
3. Удалить файлы, созданные троянцем:
%System%\DETER177\lsass.exe
%System%\DETER177\smss.exe
%System%\DETER177\svсhоst.exe
%System%\ctfmon.exe
%System%\АHTОMSYS19.exe
%System%\рsаdоr18.dll
4. Удалить ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Run]
"ctfmon" = "%System%\ctfmon.exe"
"lsass" = "%System%\DETER177\lsass.exe"
5. Перезагрузить компьютер в обычном режиме.
6. Заменить ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\АHTОMSYS19.exe"
на
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
----------------------------------------------------------------------------------------------------------------
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"
"HideFileExt" = "1"
на
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = ""
"ShowSuperHidden" = ""
"HideFileExt" = ""
----------------------------------------------------------------------------------------------------------------
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = "1"
на
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = ""
7. Проверить все флэш-накопители, которые подключались к зараженному компьютеру, на наличие следующих файлов в корневом каталоге:
CDburn.exe
autorun.inf
Если такие файлы существуют, удалить их.
8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию) .
Кроме того, копирует свое тело в системный каталог Windows под именами "ctfmon" и "АHTОMSYS19.exe":
%System%\ctfmon.exe
%System%\АHTОMSYS19.exe
Следует обратить внимание, что некоторые буквы в названиях этих файлов указаны в русской кодировке.
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Run]
"ctfmon" = "%System%\ctfmon.exe"
"lsass" = "%System%\DETER177\lsass.exe"
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\АHTОMSYS19.exe"
Для введения пользователя в заблуждение файл троянца имеет иконку обычного каталога Windows.
Инсталляция
После запуска троянец создает в системном каталоге Windows каталог с именем "DETER177" и копирует в него свое тело под именами "lsass.exe", "smss.exe" и "svсhоst.exe":
%System%\DETER177\lsass.exe
%System%\DETER177\smss.exe
%System%\DETER177\svсhоst.exe
После этого меняет атрибуты каталога и созданных файлов на "скрытые" и "системные".
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows).
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер) .
3. Удалить файлы, созданные троянцем:
%System%\DETER177\lsass.exe
%System%\DETER177\smss.exe
%System%\DETER177\svсhоst.exe
%System%\ctfmon.exe
%System%\АHTОMSYS19.exe
%System%\рsаdоr18.dll
4. Удалить ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Run]
"ctfmon" = "%System%\ctfmon.exe"
"lsass" = "%System%\DETER177\lsass.exe"
5. Перезагрузить компьютер в обычном режиме.
6. Заменить ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\АHTОMSYS19.exe"
на
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
----------------------------------------------------------------------------------------------------------------
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"
"HideFileExt" = "1"
на
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = ""
"ShowSuperHidden" = ""
"HideFileExt" = ""
----------------------------------------------------------------------------------------------------------------
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = "1"
на
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = ""
7. Проверить все флэш-накопители, которые подключались к зараженному компьютеру, на наличие следующих файлов в корневом каталоге:
CDburn.exe
autorun.inf
Если такие файлы существуют, удалить их.
8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию) .
Кроме того, копирует свое тело в системный каталог Windows под именами "ctfmon" и "АHTОMSYS19.exe":
%System%\ctfmon.exe
%System%\АHTОMSYS19.exe
Следует обратить внимание, что некоторые буквы в названиях этих файлов указаны в русской кодировке.
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Run]
"ctfmon" = "%System%\ctfmon.exe"
"lsass" = "%System%\DETER177\lsass.exe"
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\АHTОMSYS19.exe"
Для введения пользователя в заблуждение файл троянца имеет иконку обычного каталога Windows.
Altay SokolovПрофи (751)
11 лет назад
Какого х? Зачем отвечать если ничего в этом не смыслишь?
smss.exe Этот файл отвечает за запуск пользовательского сеанса, кроме того он еще системные переменные ставит. Его удаление повлечет к убийству ОС.
Другой вопрос. если что либо маскируется под него.
Тогда уже пользуйтесь антивирусом, если других вариантов нет.
smss.exe Этот файл отвечает за запуск пользовательского сеанса, кроме того он еще системные переменные ставит. Его удаление повлечет к убийству ОС.
Другой вопрос. если что либо маскируется под него.
Тогда уже пользуйтесь антивирусом, если других вариантов нет.
СергейМастер (2395)
11 лет назад
Какой вирус, ты что того?
SMSS.EXE - Данный процесс представляет подсистему менеджера сеансов. Данная подсистема является ответственной за запуск пользовательского сеанса. Этот процесс инициализируется системным потоком и ответствен за различные действия, включая запуск процессов Winlogon и Win32 (Csrss.exe) и установку системных переменных. После запуска данных процессов процесс Smss ожидает их завершения. При "нормальном" завершении процессов система корректно завершает работу. Если процессы завершаются аварийно, процесс Smss.exe заставляет систему прекратить отвечать на запросы. Этот процесс нельзя завершить из менеджера задач.
Файл smss.exe расположен в каталоге c:\windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Наиболее распространенные вирусы, использующие для сокрытия своего присутствия в системе имя smss.exe – W32.Dalbug.Worm, Adware.DreamAd, Win32. Brontok, Win32 Sober, Win32.Landis и другие.
SMSS.EXE - Данный процесс представляет подсистему менеджера сеансов. Данная подсистема является ответственной за запуск пользовательского сеанса. Этот процесс инициализируется системным потоком и ответствен за различные действия, включая запуск процессов Winlogon и Win32 (Csrss.exe) и установку системных переменных. После запуска данных процессов процесс Smss ожидает их завершения. При "нормальном" завершении процессов система корректно завершает работу. Если процессы завершаются аварийно, процесс Smss.exe заставляет систему прекратить отвечать на запросы. Этот процесс нельзя завершить из менеджера задач.
Файл smss.exe расположен в каталоге c:\windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Наиболее распространенные вирусы, использующие для сокрытия своего присутствия в системе имя smss.exe – W32.Dalbug.Worm, Adware.DreamAd, Win32. Brontok, Win32 Sober, Win32.Landis и другие.
Иван СтрелецМастер (1104)
11 лет назад
Да уж...помог...
Прежде чем советовать удалять необходимо понять вирус ли это вообще...
Прежде чем советовать удалять необходимо понять вирус ли это вообще...
FunnyOwlПрофи (541)
7 лет назад
Бля, по скольку я провинциальный дурачок закончивший церковно-приходскую школу, мне легче скакать с бубном вокруг компа при этом поливая его святой водой и попутно почитывая кафизмы "к Давиду"
Остальные ответы
ПАРЭИЗНАЦИТРЕКС-ИКСАФТИЛЬСЧЕЦ
(16866)
15 лет назад
smss.exe это системный файл, он бонально заражен. Если его удолить я незнаю что будет.. но будет хреново. Попробуй другой антивирусник, к примеру Avira.
Akaymi
(1075)
15 лет назад
Не буду повторяться. Ниже всё сказано. :)
Отвечает Alexey:
Это системные процессы. Не вирусы.
Отвечает TU-154:
Это все системные процессы. Зайдите в Управление службами (Пуск - Выполнить - services.msc) и в свойствах служб посмотрите исполняемые файлы служб. Сразу получите ответ на свой вопрос.
Отвечает du:
При инсталляции бэкдор создает папку со случайным именем в системном каталоге Windows и копирует себя в эту папку с именем csrss.exe. Например: %System%\drtusi\csrss.exe Также в данной папке бекдор создает следующие файлы: %System%\drtusi\csrss.dat %System%\drtusi\csrss.ini После чего оригинальный запускаемый файл удаляется. Бекдор создает ссылку на себя в каталоге автозагрузки: %UserProfile%\Start Menu\Programs\Startup\csrss.lnk Затем регистрирует себя в ключах автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "csrss"=" " Добавляет следующие записи в системный реестр: [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "Load"="%System%\ \csrss.exe" "Run"="%System%\ \csrss.exe" В случае Windows 95/98/ME бекдор изменяет файл win.ini, добавляя в него следующие строки: load = %System%\ \csrss.exe run = %System%\ \csrss.exe Также бэкдор добавляет следующие записи в системный реестр: [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"="2" "SuperHidden"="0" "ShowSuperHidden"="0" [HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\System] "DisableRegistryTools"="1" "NoAdminPage"="1" Действия: Программа соединяется с различными серверами IRC и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры, скачивать файлы и т.д. Помимо этого бэкдор обладает следующей функциональностью: распространение по команде злоумышленника по каналам MSN Messenger ссылки, призывающей пользователей скачать копию данного бекдора; при этом ссылка выглядит весьма безопасно: http://www.vbulettin.com/[removed], – очень похоже на адрес авторитетного журнала антивирусной индустрии Virus Bulletin, и может вызвать заблуждение пользователей; загрузка и запуск на зараженном компьютере различных файлов; удаление файлов; остановка различных активных процесов; перезагрузка компьютера; проведение DoS-атак; отсылка злоумышелннику подробной информации о системе, в том числе вводимых с клавиатуры паролей и другой секретной информации; выполнение на зараженном компьютере различных команд; закрузка своих обновлений; прочеее.
Отвечает loki:
csrss.exe-вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 6K (упакован UPX, размер распакованного файла - около 15K), написан на Visual Basic. Червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Замечание: реальное .EXE-имя файла во вложении скрыто "ложным" .JPG-именем при помощи дополнительных возможностей MS Outlook. Таким образом, зараженное EXE-вложение в письме выглядит как .JPG-файл, однако при открытии этого вложения оно обрабатывается как EXE-файл. Вложения подобного рода автоматически блокируются по умолчанию версиями MS Outlook 97 SP2 и выше. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Инсталляция. При инсталляции червь копирует себя с именем "csrss.EXE" в системный каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemSARS32 = %WindowsDir%\csrss.EXE Рассылка писем. При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге. Зараженные письма содержат:Заголовок: Alert! SARS Is being Spread! Текст: Hi!, This is a beta test SARS. Please check an attachment!
Отвечает Alexey:
Это системные процессы. Не вирусы.
Отвечает TU-154:
Это все системные процессы. Зайдите в Управление службами (Пуск - Выполнить - services.msc) и в свойствах служб посмотрите исполняемые файлы служб. Сразу получите ответ на свой вопрос.
Отвечает du:
При инсталляции бэкдор создает папку со случайным именем в системном каталоге Windows и копирует себя в эту папку с именем csrss.exe. Например: %System%\drtusi\csrss.exe Также в данной папке бекдор создает следующие файлы: %System%\drtusi\csrss.dat %System%\drtusi\csrss.ini После чего оригинальный запускаемый файл удаляется. Бекдор создает ссылку на себя в каталоге автозагрузки: %UserProfile%\Start Menu\Programs\Startup\csrss.lnk Затем регистрирует себя в ключах автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "csrss"=" " Добавляет следующие записи в системный реестр: [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "Load"="%System%\ \csrss.exe" "Run"="%System%\ \csrss.exe" В случае Windows 95/98/ME бекдор изменяет файл win.ini, добавляя в него следующие строки: load = %System%\ \csrss.exe run = %System%\ \csrss.exe Также бэкдор добавляет следующие записи в системный реестр: [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"="2" "SuperHidden"="0" "ShowSuperHidden"="0" [HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\System] "DisableRegistryTools"="1" "NoAdminPage"="1" Действия: Программа соединяется с различными серверами IRC и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры, скачивать файлы и т.д. Помимо этого бэкдор обладает следующей функциональностью: распространение по команде злоумышленника по каналам MSN Messenger ссылки, призывающей пользователей скачать копию данного бекдора; при этом ссылка выглядит весьма безопасно: http://www.vbulettin.com/[removed], – очень похоже на адрес авторитетного журнала антивирусной индустрии Virus Bulletin, и может вызвать заблуждение пользователей; загрузка и запуск на зараженном компьютере различных файлов; удаление файлов; остановка различных активных процесов; перезагрузка компьютера; проведение DoS-атак; отсылка злоумышелннику подробной информации о системе, в том числе вводимых с клавиатуры паролей и другой секретной информации; выполнение на зараженном компьютере различных команд; закрузка своих обновлений; прочеее.
Отвечает loki:
csrss.exe-вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 6K (упакован UPX, размер распакованного файла - около 15K), написан на Visual Basic. Червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Замечание: реальное .EXE-имя файла во вложении скрыто "ложным" .JPG-именем при помощи дополнительных возможностей MS Outlook. Таким образом, зараженное EXE-вложение в письме выглядит как .JPG-файл, однако при открытии этого вложения оно обрабатывается как EXE-файл. Вложения подобного рода автоматически блокируются по умолчанию версиями MS Outlook 97 SP2 и выше. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Инсталляция. При инсталляции червь копирует себя с именем "csrss.EXE" в системный каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemSARS32 = %WindowsDir%\csrss.EXE Рассылка писем. При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге. Зараженные письма содержат:Заголовок: Alert! SARS Is being Spread! Текст: Hi!, This is a beta test SARS. Please check an attachment!
Источник:
FunnyOwlПрофи (541)
7 лет назад
Бля, по скольку я провинциальный дурачок закончивший церковно-приходскую школу, мне легче скакать с бубном вокруг компа при этом поливая его святой водой и попутно почитывая кафизмы "к Давиду"
Похожие вопросы