文章大纲：

• 1、为什么自己写的程序，用VB6.0编译成exe文件后，总提示发现木马病毒？
• 2、流氓清除、优化软件用不了,这是什么毒?
• 3、急!请帮忙看一下这个文件是病毒吗?
• 4、请问下这两个哪个是木马病毒?
• 5、请问如何彻底删除 *** ss.exe这个可恶的木马？

为什么自己写的程序，用VB6.0编译成exe文件后，总提示发现木马病毒？

用这个VB编写一个什么都没有的程序，看看它的字节是不是16384，如果不是，就是盗版的。如果是，就是杀毒软件误报。

流氓清除、优化软件用不了,这是什么毒?

刚听说这类情况,似乎是 *** ss.exe木马.

希望你及时有新的情况补充.

*** SS.EXE:Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情， *** ss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个 *** ss.exe进程，而且有的 *** ss.exe路径是"%WINDIR%\ *** SS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\ *** SS.EXE"。手工清除时请先结束病毒进程 *** ss.exe，再删除%WINDIR%下的 *** ss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可

================

*** SS.EXE(Session Manager Subsystem)，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情， *** ss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个 *** ss.exe进程，而且有的 *** ss.exe路径是"%WINDIR%\ *** SS.EXE"，那就可以肯定是中了病毒或木马了。

*** SS.EXE是正常WINDOWS系统文件，如果贸然删除，可能影响WINDOWS部分功能，或许这些功能你不需要，但是 *** SS.EXE可以被双波病毒（冲击波、震荡波）感染或者篡改，建议更新WINDOWS 或者下载双波补丁和双波转杀工具

清除 *** ：

1. 运行Procexp.exe和SREng.exe

2. 用ProceXP结束%Windows%\ *** SS.EXE进程，注意路径和图标

3. 用SREng恢复EXE文件关联

1,2,3步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了……

删除的启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TProgram"="%Windows%\ *** SS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]

"TProgram"="%Windows%\ *** SS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

修改为：

"Shell"="Explorer.exe"

删除的文件就是一开始说的那些，别删错就行

5. 最后打开注册表编辑器，恢复被修改的信息：

查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；

查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；

查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；

查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。

急!请帮忙看一下这个文件是病毒吗?

不是病毒

下面是详细介绍

*** ss

开放分类： 系统、进程

*** ss

FONT size=2进程文件: *** ss or *** ss.exe

进程名称: Session Manager Subsystem

描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。/FONT *** ss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意： *** ss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下面

[font id=labDescription_Zh] *** ss.exe[/font]

[font] 描述： *** 尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动，并将病毒模块regsvr.dll，cn_spi.dll注入进程运行。[/font]

[font][/font]出品者:microsoft corp.

属于:microsoft windows operating system

系统进程:是

后台进程:是

使用 *** :否

硬件相关:否

常见错误:未知

内存使用:未知

安全等级:0

间谍软件:否

广告软件:否

病毒:否

木马:否

注意： *** ss.exe进程属于系统进程，这里提到的木马 *** ss.exe是木马伪装成系统进程

如果系统中出现了不只一个 *** ss.exe进程，而且有的 *** ss.exe路径是"%WINDIR%\ *** SS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\ *** SS.EXE"。手工清除时请先结束病毒进程 *** ss.exe，再删除%WINDIR%下的 *** ss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。

[font color=#0000cc]病毒 *** ss在com里面的删法[/font]

1。运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则"

然后点击浏览找到木马文件c:\windows\system\com\ *** ss.exe,lsass.exe安全级别选择"不允许的",

2。进入安全模式

看看有没那2个进程。用户名不是system.有的用ntsd –c q -p删了

将c:\windows\system\com\ *** ss.exe,lsass.exe文件2个删了。和“开始”菜单下的启动项的“~”，

用批处理文件将autorun.inf 和pagefile.pif删了

@echo ===============================================

@echo Delete Trojan.PSW.Lmir.iux By o__4pollo

@echo ===============================================

@echo Start...

@echo ===============================================

@echo Execute ATTRIB...

@echo off

attrib -s -r -a -h d:\pagefile.pif

attrib -s -r -a -h e:\pagefile.pif

attrib -s -r -a -h f:\pagefile.pif

attrib -s -r -a -h c:\pagefile.pif

attrib -s -r -a -h c:\autorun.inf

attrib -s -r -a -h d:\autorun.inf

attrib -s -r -a -h e:\autorun.inf

attrib -s -r -a -h f:\autorun.inf

rem ===============================================

@echo Execute DELETE...

@echo off

del c:\pagefile.pif

del d:\pagefile.pif

del e:\pagefile.pif

del f:\pagefile.pif

del c:\autorun.inf

del d:\autorun.inf

del e:\autorun.inf

del f:\autorun.inf

@echo ===============================================

@echo End...

@echo ===============================================

运行regedit搜索MountPoints2。将下面每一项下面的shell\autorun删了

病毒在注册表RUN中没启动项。不用改。

3。这个病毒感染系统盘外所有盘部分的.exe文件。有的不能用。删了从下。有的向 *** 、TTplayer点一次就好了。他会在com里重生成 *** ss.不过他不能运行。直接删了

清除电脑中临时文件。注意看看windows\temp.

请问下这两个哪个是木马病毒?

正常的 *** ss.exe用户名是SYSTEM，属于系统进程，是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。

但是注意： *** ss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

而木马进程的用户名一般是正在登陆的计算机用户名，请尽快禁止并删除该进程，否则你的游戏账号和密码可能被窃取。

杀得不彻底有几个原因，一个是程序在运行，需要把改进程关掉，在进行杀毒

另一个原因是，病毒不止依靠一个进程保证自己不被禁止，可能还会在其他程序种下木马，比如：在某些常用的程序种下。关掉以后再次运行该程序（尽管不是病毒但仍然再次启动病毒）

所以建议下一个新的杀毒软件后升级至最新病毒库（愿有可能已被传染，我就见过一例瑞星被种木马后废掉无法启动杀毒，但是一运行瑞星就等于启动木马），断网杀毒，当然在安全模式下杀毒更好

我找了些关于这个木马的手动删除资料

结束假的 *** SS.EXE进程，注意用些工具如Procexp察看该进程路径

我不知道你的EXE文件会不会也打不开，也有问题，用Upiea之类工具恢复EXE文件关联

做完以上步骤，可以删除文件和启动项了……

删除的启动项：

Code:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TProgram"="%Windows%\ *** SS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]

"TProgram"="%Windows%\ *** SS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

修改为：

"Shell"="Explorer.exe"

删除的文件就是一开始说的那些，别删错就行

5. 最后打开注册表编辑器，恢复被修改的信息：

查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；

查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；

查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；

查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。

比较麻烦，如果还不行，你发信息给我，我向你要这个病毒来亲身试下，看看怎么彻底清除

请问如何彻底删除 *** ss.exe这个可恶的木马？

*** SS.EXE:Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情， *** ss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个 *** ss.exe进程，而且有的 *** ss.exe路径是"%WINDIR%\ *** SS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\ *** SS.EXE"。手工清除时请先结束病毒进程 *** ss.exe，再删除%WINDIR%下的 *** ss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。

[ *** ss.exe]

进程文件: *** ss or *** ss.exe

进程名称: Session Manager Subsystem

描 述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。

简 介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情， *** ss.exe就会让系统停止响应（就是挂起）。