Smss.exe أو Windows مدير الدورة إنها عملية مسؤولة عن الإدارة دورات المستخدمين مسجلة على نظام (الفترات الزمنية التي يتم فيها تسجيل المستخدمين منها في هذا النظام). على وجه التحديد، في بداية هذه الدورات تطبيق smss.exe سلسلة من الأوامر التي تطلق عملية قطع الأشجار (WINLOGON.EXE)، بالإضافة إلى مجموعة من العمليات Win32 اللازمة لتشغيل النظام. وبالإضافة إلى ذلك، مجموعة وسلسلة smss.exe متغيرات النظام.
على الرغم من أن يعتبر النظام الهامة نسبيا smss.exe عملية أيضا معالجة عرضة لهجمات عبر الإنترنت. وهي تقع، المشروعة في مجلد C: \Windows System32واكتشاف أي ملف يحمل نفس الاسم أو على الأقل مماثلة لعملية يشير إلى وجود فيروس, حصان طروادة أو برامج التجسس في النظام الخاص بك
W32 / Ladex.Worm هو فيروس أن ينتشر عن طريق الحسابات المفتوحة أو حصة هنا. التي يعلقها نظام معين خبيث، بما في ذلك ملف smss.exe (نفس اسم عملية مشروعة). ثم محاولة الوصول إلى إدارة التحكم بالخدمة لتثبيت جهاز التحكم عن بعد، ونظام الخدمة الهجوم. هذا وهمية الخدمة (Lmhsvc.exe) دعا NtLmHosts (أو TCP / IP مقدم NETBIOS) ، مما يخلق انطباعًا بالشرعية وبالتالي ينجح في تضليل العديد من المستخدمين. لأن lmhsvc.exe يضع نسخة في مجلده System 32 ، تم تنشيط الخدمة تلقائي في كل بدء تشغيل النظام.
بعد التثبيت في شكل من أشكال الخدمة، ودودة ينفذ الملفات Ladex ٪ WINDIR٪ \ smss.exe si ٪ WINDIR٪ \ csrss.exe. عندما الفيروس نشطا، يجب على هذه الملفين غير شرعي ضمان تشغيل مستمر من الخدمة عن طريق يتحقق كل 3 ثواني. وكل 10 ثانية، يضيف الفيروس ما يلي سجل في النظام:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run registry key:
Smss.exe %windir%\smss.exe
Csrss.exe %windir%\csrss.exeوبالإضافة إلى ذلك، فإن محاولات فيروس، وأكثر في كثير من الأحيان من قبل، لمنع وصول المستخدمين إلى محرر التسجيل.
تحذير! إذا كانت المخالفات المشتبه بشأن عملية smss.exe، نوصي إجراء بفحص النظام شامل si تعطيل موقع تقاسم في الشبكات غير المستخدمة.
