SMSS.EXE:Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%\\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可

病毒名称：TSPY_LINEAGE.AZO

一、请先进入安全模式：

1. 请重新启动电脑

2. 持续重覆按 F8 键，直到出现选择画面 (请勿按著不放)

3. 请选择到第一个项目「安全模式」，按 ENTER

二、修改登录机码：

1.点选 → |开始|执行|, 输入REGEDIT, 然后按 Enter. 开启[登录编辑程式]

2.在左侧视窗中,寻找下列路径:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows

NT>CurrentVersion>Winlogon

3.在右边的视窗,寻找到下列"路径"的机码值.

Userinit = "c:\\windows\\system32\\userinit.exe,c:\\Program Files\\Windows Media

Player\\svchost.exe,"

4.将其修改为下列机码值. ( 按右键 > 点选"修改" > 在"数值资料"内输入下列

值 > 按 "确定" )

Userinit = "c:\\windows\\system32\\userinit.exe,

5.关闭 [登录编辑程式]

三、关闭 Windows XP「系统还原」

1.在「我的电脑」按下滑鼠右键，然后点选「内容」。

2.选择到「系统还原」标签。

3.请勾选「关闭所有磁碟上的系统还原」后，按下「确定」。

4.若出现讯息"这将会删除所有现存的系统还原"，请按「是」。

5.按「确定」。

重新启动电脑后，手动更新病毒码，再手动做一次完整扫描，检查病毒是否清除成

功。</CA>