文章大纲：

• 1、木马究竟是什么东西?
• 2、急！！！！求助高手！！高分悬赏！
• 3、什么可能携带病毒或木马
• 4、这个是病毒吗?
• 5、 *** ss.exe是什么进程

木马究竟是什么东西?

木马（Trojan）这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

中了木马之后，可以使用电脑管家来查杀

电脑管家的杀毒部分采用的是4+1引擎，包含金山和腾讯两个国内更大的云查杀引擎

以及以高查杀著称的德国小红伞本地引擎，查杀率非常的高，可以完美的清除各种顽固的木马病毒

腾讯电脑管家企业平台：

急！！！！求助高手！！高分悬赏！

*** ss.exe如果只有一个是正常的。

如果系统中出现了不只一个 *** ss.exe进程，而且有的 *** ss.exe路径是"%WINDIR%\ *** SS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\ *** SS.EXE"。手工清除时请先结束病毒进程 *** ss.exe，再删除%WINDIR%下的 *** ss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可

--------------------

进程文件: *** ss or *** ss.exe

进程名称: Session Manager Subsystem

描 述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。

简 介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情， *** ss.exe就会让系统停止响应（就是挂起）。

------------------------------------------

*** SS.EXE病毒处理 ：

*** SS.EXE(Session Manager Subsystem)，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情， *** ss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个 *** ss.exe进程，而且有的 *** ss.exe路径是"%WINDIR%\ *** SS.EXE"，那就可以肯定是中了病毒或木马了。

清除 *** ：

1. 运行Procexp.exe和SREng.exe

2. 用ProceXP结束%Windows%\ *** SS.EXE进程，注意路径和图标

3. 用SREng恢复EXE文件关联

1,2,3步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了……

要删除的清单请见:

删除的启动项：

Code:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TProgram"="%Windows%\ *** SS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]

"TProgram"="%Windows%\ *** SS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

修改为：

"Shell"="Explorer.exe"

删除的文件就是一开始说的那些，别删错就行

5. 最后打开注册表编辑器，恢复被修改的信息：

查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；

查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；

查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；

查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。

关于 *** SS.EXE进程的描述：

中文参考：

Code:

*** ss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意： *** ss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

清除的 *** 请见:

1. 结束病毒的进程%Windows%\ *** ss.exe（用进程管理软件可以结束，如：Process viewer）

2. 删除相关文件：

C:\MSCONFIG.SYS

%Windows%\1.com

%Windows%\ExERoute.exe

%Windows%\explorer.com

%Windows%\finder.com

%Windows%\ *** ss.exe

%Windows%\Debug\DebugProgram.exe

%System%\command.pif

%System%\dxdiag.com

%System%\finder.com

%System%\MSCONFIG.COM

%System%\regedit.com

%System%\rundll32.com

%ProgramFiles%\Internet Explorer\iexplore.com

%ProgramFiles%\Common Files\iexplore.pif

3. 恢复EXE文件关联

删除[HKEY_CLASSES_ROOT\winfiles]项

4. 删除病毒启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Torjan Program"="%Windows%\ *** ss.exe"

修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下

"shell"="Explorer.exe 1"

为

"shell"="Explorer.exe"

5. 恢复病毒修改的注册表信息：

(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”

(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”

(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”

(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”

6 在command模式下写入assoc .exe=exefile

修复exe关联，这样exe文件才可以打的开

--------------------------------------------------------------------------------

*** 尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒：

进程文件: *** ss.exe

进程名称: PWSteal.Wowcraft.b木马病毒

英文描述: N/A

进程分析: *** 尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动，并将病毒模块regsvr.dll，cn_spi.dll注入进程运行。

安全等级 (0-5): 0 (N/A无危险 5最危险)

间碟软件: 是

广告软件: 是

病毒: 是

木马: 是

系统进程: 否

应用程序: 否

后台程序: 是

使用访问: 是

访问互联网: 否

描述: 如果系统中出现了不只一个 *** ss.exe 进程，而且有的 *** ss.exe 路径位于 Windows 目录，那有可能是中了 TrojanClicker.Nogard.a 病毒，这是一种 Windows 下的 PE 病毒，它采用 VB6 编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件 WIN.INI，并在 [WINDOWS] 项中加入 "RUN" = "%WINDIR%\ *** SS.EXE"。手工清除时请先结束病毒进程 *** ss.exe，再删除 Windows 目录下的 *** ss.exe 文件，然后清除它在注册表和 WIN.INI 文件中的相关项即可。

纯手工查杀木马csrss.exe

注意：csrss.exe进程属于系统进程，这里提到的木马csrss.exe是木马伪装成系统进程

前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的，不应该在这里，而且它的图标是98下notepad.exe的老记事本图标，在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定，也没有发现内存和CPU大量占用， *** 流量也正常。

这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator，就是我登录的用户名，而非system，另外它们的名字是小写的，而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE，觉得不对劲。

然后按F3用资源管理器的搜索功能找csrss.exe，果然在C:\Windows下，大小52736字节，生成时间为12月9日12:37。而真正的csrss.exe只有4k，生成时间是2003年3月27日12:00，位于C:\Windows\Syetem32下。

于是用超级无敌的UltraEdit打开它，发现里面有kavscr.exe，mailmonitor一类的字符，这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序，不是病毒就是木马了。灭！

试图用任务管理器结束csrss.exe进程失败，称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值，注销重登录，该进程消失，可见它没有象3721那样加载为驱动程序。

然后要查找和它有关的文件。仍然用系统搜索功能，查找12月9日生成的所有文件，然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe，但kavsrc.exe的图标也是98下的记事本图标，它和rundll32.exe的大小都是33792字节。

此后在12:38分生成了一个tmp.dat文件，内容是

@echo off

debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exeC:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

C:\WINDOWS\system32\netstart.exe

好像是用debug汇编了一段什么程序，这年头常用debug的少见，估计不是什么善茬，因为商业程序员都用Delphi、PB等大程序写软件。

汇编大约进行了1分钟，在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节，另两个大小也是52736字节。前两个位于C:\Windows\System32下，后两个在当前用户的Temp文件夹里。

这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行，因为我在任务管理器中没有见过它。把这些文件都删除，我的办法是用winrar压缩并选中完成后删除源文件，然后在rar文件注释中做说明，放一个文件夹里，留待以后研究。这个监狱里都是我的战利品，不过还很少。

现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容，发现结果不少，有 *** 病毒，传奇盗号木马，新浪游戏病毒，但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果，也是一个木马。

这个病毒是怎么进入我的电脑的呢？搜索时发现在12月9日12:36分生成了一个快捷方式，名为dos71cd.zip，它是我那天从某网站下载的DOS7.11版启动光盘，但是当时下载失败了。现在看来根本就不是失败，是因为这个网站的链接本来就是一段网页注入程序，点击后直接把病毒下载来了。

lsass.exe不是毒

services.exe病毒Win32.troj. *** Dragon.bl解决方案

强调一下 要删的是如下的几项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"services"="%WINDOWS%\services.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runservices]

"services"="%WINDOWS%\services.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"Run"="%WINDOWS%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"services"="%WINDOWS%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]

"services"="%WINDOWS%\services.exe"

%WINDOWS% 表示 c:\windows 或者 d:\windows 具体看你的系统装在哪个系统盘。一般是C盘

正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。

而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。

进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。

这个木马非常厉害，能破坏掉木马克星，使其不能正常运行。目前我使用其他杀毒软件未能查出。

那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，呵呵，当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都难搞，只要运行任何程序，或者双击打开D盘，她就会重新被安装了，呵呵，这段时间很多人被盗就是因为这个破解的传家宝了，而且杀毒软件查不出来，有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马，至于会不会盗其他帐号如 *** ，网银 就看她高兴了，呵呵，估计也都是一并录制。不怕毒和要减少损失的更好开启防火墙阻止除了自己信任的几个常用任务出门，其他的全部阻挡，当然大家更好尽快备份，然后关门杀毒

包括方新等修改过的51pywg传家宝，和他们破解的其他一切外挂，这次嫌疑更大的是51PYWG，至于其他合作网站估计也逃不了关系，特别是方新网站，已经被证实过多次在网站放木马，虽然他解释是被黑了，但是不能排除其他可能，特别小心那些启动后连接网站的外挂，不排除启动器本身就有毒，反正一句话，这种启动就连接某网站的破解软件最容易放毒，至于什么时候放，怎么方，比如一天放几个小时，都要看他怎么爽，用也尽量用那种完全本地破解验证版的，虽然挂盟现在好像还没发现被放马或者自己放，但是千万小心，，最近传奇世界传奇N多人被盗号，目标直指这些网站，以下是最近特别毒的WINLOGON.EXE盗号病毒清除 *** ，注意这个假的WINLOGON.EXE是在WINDOWS下，进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的，那个千万不要乱删，看清楚了，前面一个是大写，后面一个是小写，而且经部分网友证实，此文件连接目的地为河南。

解决“落雪”病毒的 ***

症状：D盘双击打不开，里面有autorun.inf和pagefile.com文件

做这个病毒的人也太强了，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。

D盘里就两个，搞得你无法双击打开D盘。C盘里盘里的就多了！

D:\autorun.inf

D:\pagefile.com

C:\Program Files\Internet Explorer\iexplore.com

C:\Program Files\Common Files\iexplore.com

C:\WINDOWS\1.com

C:\WINDOWS\iexplore.com

C:\WINDOWS\finder.com

C:\WINDOWS\Exeroud.exe（忘了是不是这个名字了，红色图标有传奇世界图标的）

C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的)

C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。

C:\Windows\system32\msconfig.com

C:\Windows\system32\regedit.com

C:\Windows\system32\dxdiag.com

C:\Windows\system32\rundll32.com

C:\Windows\system32\finder.com

C:\Windows\system32\a.exe

对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不

要运行任何程序，要不就又启动了，包括双击磁盘

还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要干掉她！！！

C:\Windows\WINLOGON.EXE

这个在进程里可以看得到，有两个，一个是真的，一个是假的。

真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，

而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。

这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会

呆在你的进程里！ 我现在所知道的就这些，要是不放心，就更好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的， 连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！

知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！

然后注销！ 重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。 到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把autorun.inf和pagefile.com删掉，

然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。

我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。

然后，到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com 嘿嘿 我也会用com文件，然后双击这个COM文件

然后行动可以进入到DOS下的命令提示符。

再打入以下的命令：

assoc .exe=exefile （assoc与.exe之间有空格）

ftype exefile="%1" %*

这样exe文件就可以运行了。 如果不会打命令，只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。

但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用上网助手之类的软件全面修复IE设置

最后说一下怎么解决开机跳出找不到文件“1.com”的 *** ：

在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中

把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

大功告成！大家分享一下吧！

如果是WINLOGiN.EXE的话应该是病毒，一般在c:/windows下，而且图标明显的不同~~ 可以手动删除的，注意在同一文件夹下还有另一个文件的关联图标一样的，要一块删掉，不然删了WINLOGON.EXE重启后还会自动生成而正常的系统进程winlogon.exe是在c:/windows/system32下

病毒进程是winlogin.exe 而winlogon.exe是正常的进程大家要看清啊!!

winlogon - winlogon.exe - 进程信息

进程文件： winlogon or winlogon.exe

进程名称： Microsoft Windows Logon Process

描述：

WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意：winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建 *** TP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除

什么可能携带病毒或木马

我们首先了解下木马病毒的发展史，之一代木马病毒就是简单的病毒程序，主要就是进行密码的的窃取，被病毒感染的用户，在发送邮件的时候会被窃取信息。第二代和第三代病毒有了较大的进步，能够利用一些不易被发现的文件携带病毒，让杀毒软件的识别难度增大。第四代木马病毒在隐藏功能上又有了很大改动，像是灰鸽子和蜜蜂大盗，都是非常著名的木马病毒。第五代木马病毒大量使用Rootkit技术，达到深度隐藏效果，能够对杀毒软件和 *** 防火墙进行攻击。第六代木马病毒逐渐开始系统化，在盗取和篡改用户信息方面都有非常大的危害。



接着我们来看木马病毒的种类，之一类木马病毒是游戏木马，主要通过一些游戏的脚本和外挂程序入侵用户。被木马病毒感染的游戏用户，在用键盘输入帐号木马的时候，个人信息就会被病毒制造者知晓。而因为游戏用户数量众多，掉进游戏木马病毒坑中的人数还真的不少。第二类是网银木马，受害者的卡号、密码甚至是安全证书都可能被不法分子窃取。这类病毒危害性更大，更容易对用户造成损害。



第三类是下载类木马病毒，这类木马病毒的体积普遍很小，能够从 *** 上移植其他病毒到用户电脑，或者是安装广告软件，这类木马病毒也极易传播。第四类是 *** 类病毒，一般黑客会将感染 *** 类病毒的电脑当作跳板，借用被感染电脑用户的身份来活动。第五类是FTP木马，这类木马能够打开被控制计算机的21号端口，使得每一个人都可以用FTP客户端来连接到被控制的计算机。第六类是网页点击类木马，主要就是为了赚取高额的点计费编写的。

这个是病毒吗?

应该没有中毒

%systemroot%是系统中的一个变量，表示的是windows系统启动文件夹位置。一般如果你在安装系统的时候没有手动设置安装位置的话，Windos 95,Windows98,Windows Me和Windows Xp的位置是C:\windows,也就是变量%systemroot%=C:\Windows,Windows Nt和Windows2000的位置是C:\Winnt也就是变量%systemroot%=C:\Winnt。如果你的系统是安装在D盘那就是D:\windows或D:\winnt，如果系统安装的别的盘依此类推。System32是系统文件夹下的一个子文件夹，根据你的系统不同就是C:\windows\system32或C:\winnt\system32，如果是系统安装在别的盘，类推。

进程文件: *** ss or *** ss.exe

简介： *** ss.exe(Session Manager Subsystem)，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Windows登录程序(winlogon.exe)，Win32子系统（csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程是正常的，系统就关掉了。如果发生了什么不可预料的事情， *** ss.exe就会让系统停止响应（就是挂机）。

文件 *** ss.exe 是存放在目录 C:\Windows\System32。已知的 Windows XP 文件大小为 50,688 字节 (占总出现比率 90% )，45,568 字节，62,976 字节，64,000 字节。

这是 Windows 系统文件。 程序没有可视窗口。 这个文件是由 Microsoft 所签发。 总结在技术上威胁危险度是 4% , 但是也可以参考 用户意见。

如果 *** ss.exe 位于在目录 C:\Windows下，那么威胁危险度是 75% 。文件大小是 229,621 字节 (占总出现比率 15% )，122,880 字节，34,816 字节，159,841 字节，51,712 字节，65,664 字节，45,866 字节，163,840 字节，229,888 字节，69,632 字节，53,249 字节，15,872 字节，106,496 字节，50,767 字节，55,296 字节。这个不是 Windows 核心文件。 文件没有发行者的资料。 应用程序是不可见的。 这是个不知名的文件存放于 Windows 目录。 这个进程在 Windows 启动时自动载入 (参看注册表项： HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell，C:\Windows\win.ini，HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit，HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders)。 *** ss.exe 是有能力可以 监控应用程序，操纵其他程序，纪录输入。

如果 *** ss.exe 位于在 C:\Windows\System32\drivers 下的子目录下，那么威胁危险度是 71% 。文件大小是 86,016 字节 (占总出现比率 81% )，13,312 字节。这个程序没有备注。 程序是不可见的。 这是个不知名的文件存放于 Windows 目录。 这个不是 Windows 系统文件。 *** ss.exe 是有能力可以 监控应用程序。

*** ss.exe是什么进程

*** ss.exe(Session Manager Subsystem)，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Windows登录程序(winlogon.exe)，Win32子系统（csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程是正常的，系统就关掉了。如果发生了什么不可预料的事情， *** ss.exe就会让系统停止响应（就是挂机）。正常的 *** ss.exe存在于windows\system32文件夹下，如果不是那么就是病毒了。

-----------------------------------------------------

*** SS病毒

*** 尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒：

进程文件: *** ss.exe

进程名称: PWSteal.Wowcraft.b木马病毒

英文描述: N/A

进程分析: *** 尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动，并将病毒模块regsvr.dll，cn_spi.dll注入进程运行。

安全等级 (0-5): 0 (N/A无危险 5最危险)

间谍软件: 是

广告软件: 是

病毒: 是

木马: 是

系统进程: 否

应用程序: 否

后台程序: 是

使用访问: 是

访问互联网: 否

清除 *** ：

1. 运行Procexp.exe和SREng.exe

2. 用ProceXP结束%Windows%\ *** SS.EXE进程，注意路径和图标

3. 用SREng恢复EXE文件关联

1,2,3步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了……

要删除的清单请见:

删除的启动项：

Code:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TProgram"="%Windows%\ *** SS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]

"TProgram"="%Windows%\ *** SS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

修改为：

"Shell"="Explorer.exe"

删除的文件就是一开始说的那些，别删错就行

5. 最后打开注册表编辑器，恢复被修改的信息：

查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；

查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；

查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；

查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。

Code:

*** ss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意： *** ss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

清除的 *** 请见:

1. 结束病毒的进程%Windows%\ *** ss.exe（用进程管理软件可以结束，如：Process viewer）

2. 删除相关文件：

C:\MSCONFIG.SYS

%Windows%\1.com

%Windows%\ExERoute.exe

%Windows%\explorer.com

%Windows%\finder.com

%Windows%\ *** ss.exe

%Windows%\Debug\DebugProgram.exe

%System%\command.pif

%System%\dxdiag.com

%System%\finder.com

%System%\MSCONFIG.COM

%System%\regedit.com

%System%\rundll32.com

%ProgramFiles%\Internet Explorer\iexplore.com

%ProgramFiles%\Common Files\iexplore.pif

3. 恢复EXE文件关联

删除[HKEY_CLASSES_ROOT\winfiles]项

4. 删除病毒启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Torjan Program"="%Windows%\ *** ss.exe"

修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下

"shell"="Explorer.exe 1"

为

"shell"="Explorer.exe"

5. 恢复病毒修改的注册表信息：

(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”

(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”

(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”

(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”

6 在command模式下写入assoc .exe=exefile

修复exe关联，这样exe文件才可以打的开

-------------------------------------------------------------

英文版本

进程文件: *** ss.exe or *** ss

进程名称: Session Manager Subsystem

描述:

*** ss.exe is a process which is a part of the Microsoft Windows Operating System. It is called the Session Manager Subsystem and is responsible for handling sessions on your system. This program is important for the stable and secure running of your computer and should not be terminated.

Note: *** ss.exe is a process which is registered as a trojan. This 木马 allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.

Determining whether *** ss.exe is a virus or a legitimate Windows process depends on the directory location it executes or runs from in WinTasks.

Recommendation for *** ss.exe:

*** ss.exe should not be disabled, required for essential applications to work properly.

Author: Microsoft Corp.

Part Of: Microsoft Windows Operating System

安全等级 (0-5): 0

间谍软件: No

病毒: No ( Remove *** ss.exe )

木马: No ( Remove *** ss.exe )

Memory Usage: N/A

System Process: Yes

Background Process: Yes

Uses Network: No

Hardware Related: No

Common *** ss.exe Errors: N/A

中文描述：

*** ss.exe是一个进程，这是一种部分的微软视窗操作系统。这就是所谓的会话管理子系统和负责处理会在您的系统。这项计划是重要的稳定和安全运行的计算机，而不应被终止。

注意： *** ss.exe是一个进程，这是注册为木马。这木马允许黑客访问您的计算机从遥远的地点，窃取密码，网上银行和个人数据。这是一个安全风险，应删除您的系统。

确定是否是一个 *** ss.exe病毒或合法的Windows进程取决于它的位置目录执行或执行从WinTasks 。

建议 *** ss.exe ：

*** ss.exe不应该被禁用，应该修复以便支持基本应用的进行。

作者：微软公司

部分：微软Windows操作系统

安全等级（ 0-5 ） ： 0

间谍软件：否

病毒：否（删除 *** ss.exe ）

木马：否（删除 *** ss.exe ）

内存使用情况：无/阿

系统进程：是

后台进程：是

利用 *** ：无

硬件相关：无

共同 *** ss.exe错误：无/阿

注释: 文件 *** ss.exe 是存放在目录 C:\Windows\System32。已知的 Windows XP 文件大小为 50,688 字节 (占总出现比率 90% )，45,568 字节，62,976 字节，64,000 字节。

这是 Windows 系统文件。 程序没有可视窗口。 这个文件是由 Microsoft 所签发。 总结在技术上威胁危险度是 4% , 但是也可以参考 用户意见。

如果 *** ss.exe 位于在目录 C:\Windows下，那么威胁危险度是 75% 。文件大小是 229,621 字节 (占总出现比率 15% )，122,880 字节，34,816 字节，159,841 字节，51,712 字节，65,664 字节，45,866 字节，163,840 字节，229,888 字节，69,632 字节，53,249 字节，15,872 字节，106,496 字节，50,767 字节，55,296 字节。这个不是 Windows 核心文件。 文件没有发行者的资料。 应用程序是不可见的。 这是个不知名的文件存放于 Windows 目录。 这个进程在 Windows 启动时自动载入 (参看注册表项： HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell，C:\Windows\win.ini，HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit，HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders)。 *** ss.exe 是有能力可以 监控应用程序，操纵其他程序，纪录输入。

如果 *** ss.exe 位于在 C:\Windows\System32\drivers 下的子目录下，那么威胁危险度是 71% 。文件大小是 86,016 字节 (占总出现比率 81% )，13,312 字节。这个程序没有备注。 程序是不可见的。 这是个不知名的文件存放于 Windows 目录。 这个不是 Windows 系统文件。 *** ss.exe 是有能力可以 监控应用程序。