【eNet硅谷动力专稿】三、SMSS进程异常

　　SMSS进程是会话管理子系统的进程，他主要用来初始化系统变量。正常情况下，他是以系统用户名（system）身份运行，并且运行目录是在SYSTEM32下面。这个进程是通过系统进程初始化的并且对许多活动的系统变量作出反映。其实这个进程我们平时也经常会感受到。当某个程序发生异常时，SMSS进程就会让系统停止响应。有时候我们在网上冲浪系统突然提示网页发生错误将关闭，就跟这个进程有关系。这个进程的正常运行，对于系统稳定性来说，是非常重要的。

　　但是，这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象，那么就要恭喜你了，你中木马了。

　　异常现象：

　　1、不是以系统用户名（system）身份运行的，并且，运行目录不是SYSTEM32下面的，那么就说明这个进程有异常。我们要注意，若是系统的正常的SMSS进程，一定是以系统用户名运行的，并且，一定是在SYSTEM32目录下运行。否则的话，就不是系统本身的SMSS进程，很可能是木马伪造的进程。

　　2、在系统中有同时出现两个或者两个以上SMSS进程，那么你就要注意了，你电脑很可能中了木马。

　　现在最常见的SMSS进程异常是由WIN32.LADEX.A木马所造成的。这个木马病毒危害很大，他不仅允许攻击者访问你的电脑，而且，还会窃取你的机密文件与个人密码。这个危害性是很大的。根据官方的建议，若发现这个进程异常的话，要马上删除这个进程，并进行杀毒工作。

　　这个木马若手工删除的话，非常的麻烦。以前我单位有一电脑中了这个木马，我整整花了一天的时间，删除关联文件，修改注册表，才清除干净。一般我不建议手工删除这个木马，太麻烦，而且比较专业，要求对这个病毒有比较彻底的认识与了解。若发现这个进程异常时，我建议采取如下操作：

　　1、在任务管理器下，马上关闭这个进程。有时候，可能利用系统的进程管理器还不能关闭这个进程，需要在安全模式下，才能关闭。所以，我们的第一要务，就是想尽一切可以想的办法，把这个进程先结束掉，如此，我们才可以做其他的工作。

　　2、在杀毒软件网站上，找这个木马的专杀工具。这个病毒其关联的范围太广，若手工删除的话，太浪费时间，一不小心的话，那边还会剩下漏网之雨。即使熟悉这个木马的人，要把木马清除干净的话，若没有半天的时间估计也搞不定。而且，因为要修改注册表等信息，所以手工修改也会发生错误。我的建议是，从网上寻找一个转杀工具，用来查杀一下就可以了。

　　3、利用专杀工具杀掉病毒后，要提醒中木马电脑的用户，要及时修改密码。如用户邮箱、QQ等即时通信工具的密码；若在这台电脑上使用过网上银行的话，还要修改这个网上银行的密码。因为这些信息很可能在用户不知情的情况下，就已经被攻击者所获取。所以，不怕一万，就怕万一，要即使修改这些信息，防止被攻击者非法利用。