smss exe что это за процесс

Ответ от Житель Столицы[гуру]
троянская программа. Является приложением Windows (PE EXE-файл) . Имеет размер 117248 байт. Упакована при помощи UPX. Распакованный размер — около 280 КБ. Написана на Visual Basic.
Инсталляция
После запуска троянец создает в системном каталоге Windows каталог с именем "DETER177" и копирует в него свое тело под именами "lsass.exe", "smss.exe" и "svсhоst.exe":
%System%DETER177lsass.exe
%System%DETER177smss.exe
%System%DETER177svсhоst.exe
После этого меняет атрибуты каталога и созданных файлов на "скрытые" и "системные".
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows).
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер) .
3. Удалить файлы, созданные троянцем:
%System%DETER177lsass.exe
%System%DETER177smss.exe
%System%DETER177svсhоst.exe
%System%ctfmon.exe
%System%АHTОMSYS19.exe
%System%рsаdоr18.dll
4. Удалить ключи системного реестра:
[HKLMSoftwareMicrosoftCurrentVersionRun]
"ctfmon" = "%System%ctfmon.exe"
"lsass" = "%System%DETER177lsass.exe"
5. Перезагрузить компьютер в обычном режиме.
6. Заменить ключи системного реестра:
[HKLMSoftwareMicrosoftCurrentVersionWinlogon]
"Shell" = "Explorer.exe %System%АHTОMSYS19.exe"
на
[HKLMSoftwareMicrosoftCurrentVersionWinlogon]
"Shell" = "Explorer.exe"
----------------------------
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"
"HideFileExt" = "1"
на
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden" = ""
"ShowSuperHidden" = ""
"HideFileExt" = ""
----------------------------
[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesexplorer]
"NoFolderOptions" = "1"
на
[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesexplorer]
"NoFolderOptions" = ""
7. Проверить все флэш-накопители, которые подключались к зараженному компьютеру, на наличие следующих файлов в корневом каталоге:
CDburn.exe
autorun.inf
Если такие файлы существуют, удалить их.
8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию) .
Кроме того, копирует свое тело в системный каталог Windows под именами "ctfmon" и "АHTОMSYS19.exe":
%System%ctfmon.exe
%System%АHTОMSYS19.exe
Следует обратить внимание, что некоторые буквы в названиях этих файлов указаны в русской кодировке.
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи системного реестра:
[HKLMSoftwareMicrosoftCurrentVersionRun]
"ctfmon" = "%System%ctfmon.exe"
"lsass" = "%System%DETER177lsass.exe"
[HKLMSoftwareMicrosoftCurrentVersionWinlogon]
"Shell" = "Explorer.exe %System%АHTОMSYS19.exe"
Для введения пользователя в заблуждение файл троянца имеет иконку обычного каталога Windows.