|
发表于 2006-12-21 11:37:57
|
显示全部楼层
lsass.exe病毒木马手工清除方法 # s# ? C6 Z# e+ w: h) ]
病毒症状 ! ]( i% _. l: [8 h$ \5 `! y$ b
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.
1 X7 u( ?( D( D# a4 u: l
+ K7 F0 a! [* @3 ^; f9 i该病毒新建如下文件:
+ O* f( }5 Q" c/ }8 N
! m; {% D4 G4 n: Z* Ic:\program files\common files\INTEXPLORE.pif ! d$ ^- x5 d5 N# X$ H
c:\program files\internet explorer\INTEXPLORE.com
( ~9 R: `" {8 h& D C: r%SYSTEM\debug\debugprogram.exe
* f9 m6 m' P/ `- m# ]9 U# G" y%SYSTEM\system32\Anskya0.exe - X9 s5 x: |9 j
%SYSTEM\system32\dxdiag.com 4 t- V9 \ S# J1 H" c0 L
%SYSTEM\system32\MSCONFIG.com
7 {# L9 n, G4 u" i! G# t%SYSTEM\system32\regedit.com % t* g @/ |8 ~* X
%SYSTEM\system32\LSASS.exe * y$ y, [- O1 J) h; l4 t& i
%SYSTEM\system32\EXERT.exe
* C) S9 E% G, ^8 e9 x9 ~5 U- `0 t
解决方法
+ f% N8 F) w3 H/ |' G1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1064". ) s6 A' ] F* T: p% ], w! a9 C
% u* q( U+ D8 z; \% _/ P
2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.
9 L' k( j4 t! }* }5 B删除如下几个文件: ) y9 d! Z$ l y: O, `5 x
C:\Program Files\Common Files\INTEXPLORE.pif ' o2 N" x9 r5 O% Z* J4 [4 r+ \( o& t
C:\Program Files\Internet Explorer\INTEXPLORE.com , |3 O) t. @; G! O
C:\WINDOWS\EXERT.exe
3 O2 f& z0 B( t* ]; EC:\WINDOWS\IO.SYS.BAK % @4 b( x4 p7 F( q
C:\WINDOWS\LSASS.exe
4 a0 P9 w: u9 B% O f! aC:\WINDOWS\Debug\DebugProgram.exe 3 B! {6 s* ]- o9 \' [& W
. { h7 v o# B9 n' N+ d3 l5 z
# G. Z9 G( D" [7 B" b0 c哪步不会操作再问吧``` |
|