求助:中了病毒

蜜桃

:'( 我今天在迅雷上下了个MTV，结果一上网就老是自动跳出黄色网站，怎么办啊？用了360安全卫士IE修复没用
1 v; B& Y% o2 w) r1 H$ p那个网站很难关，而且在我强行关闭后系统会跳出一个框：
" B) a; S6 p2 j) s+ M# h1 ?Runtime Error
) e9 o' V! |" K, A1 AProgram:c\windows\system32\com\lsass.exe
This applicationg has requested the Runtime to termnate it in an unusual way. please contact the applicationg's support team for more information
% P3 `/ W5 Z4 Z* `2 B我现在怎么办才好?
气死了...

dongbeilao

看看你的进程里有没2个lsass.exe进程如果有的话估计中木马了可以去鹭园下个木马杀客杀杀看

evan

我有四个木马程序 没办法杀掉怎么办?
    安全模式下也不行.

lijingfind

用腾讯的TT浏览器就不会弹出来了``

lijingfind

lsass.exe病毒木马手工清除方法  
5 c: ]8 ~( ?- O6 g6 T病毒症状  
. ?% M, Q5 ^3 [! E3 n6 {进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.  
" n% W" l5 }! {8 i/ V% W$ J! D
该病毒新建如下文件：  

c:\program files\common files\INTEXPLORE.pif  
c:\program files\internet explorer\INTEXPLORE.com  
# j0 n& i( _& W1 t/ S. r+ j: U# r) {%SYSTEM\debug\debugprogram.exe  
%SYSTEM\system32\Anskya0.exe  
%SYSTEM\system32\dxdiag.com  
) t2 ?' n" v7 M! O' M+ S4 A%SYSTEM\system32\MSCONFIG.com  
%SYSTEM\system32\regedit.com  
) I3 U4 @, t7 u" ]! _- f%SYSTEM\system32\LSASS.exe  
%SYSTEM\system32\EXERT.exe  
" k& q  w4 D: R4 O, u
% R: q( u5 y+ D( E" T解决方法  
2 r; w" H" q  w- a7 Y/ n3 F: D" b& k1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064".  

! B9 E6 s9 z9 Q/ e1 ~2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.  
2 Y9 O* `# J/ W+ P& U( ]- Y' ~删除如下几个文件：  
, `% s/ o0 s4 F; @; ~  qC:\Program Files\Common Files\INTEXPLORE.pif  
C:\Program Files\Internet Explorer\INTEXPLORE.com  
! k7 h, ^( V) aC:\WINDOWS\EXERT.exe  
1 j8 K* [! |+ ~2 I/ g# b9 AC:\WINDOWS\IO.SYS.BAK  
C:\WINDOWS\LSASS.exe  
0 F0 Y# k' S* e& `  j+ w) l1 p  EC:\WINDOWS\Debug\DebugProgram.exe
: V' k- G8 {( P- K$ i5 `
7 y6 z, _! t0 ?0 T% |# K
哪步不会操作再问吧```

蜜桃

多谢大家,我用木马杀客和赛门铁克一起七弄八弄就莫名其妙的弄好了...:) :) :)
9 m3 C/ t, I9 n! p' X) O

9 v* R! p  c5 g8 f' m2 ?- z开始扫描Windows系统目录...
系统事件：已发现伪系统木马!
' X! E* I: m, s$ u( p  h3 m) I木马名称：系统IP安全管理程序.5
木马路径：C:\WINDOWS\system32\Com\lsass.exe
1 v( f! w% k2 n- T处理方式：隔离 成功

蜜桃

不行,又冒出来了...:'( :'( :'(

lijingfind

就照我说的那个办法试试```哪步不会操作就问```
) P, q7 d7 ~9 l9 F; O
* \+ c0 g8 {& C" Y上面那个办法应该可以的``

蜜桃

我的计算机上输入"ntsd –c q -p 776".  后,它显示:系统找不到指定文件

lijingfind

你那个号码是不是按这个方法找到的？？？

鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号
4 Y/ t% T) ]8 a& ~0 f4 R
% h% A9 L5 y$ K这个方法我朋友用过``已经解决了```

蜜桃

我是用这个办法找到的
现在要考试了,已经懒得弄了...已经被这东西折腾得没劲了
0 a# J5 X# F2 E现在每次上网前就用木马杀客先把病毒暂时隔离掉,也不怎么影响

左手思念

木马杀客没用的,那只是以病毒的特征代码去检查是不是病毒,根本杀不了毒,还是用AVG

新丐中丐牌乞丐

找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，
我的电脑里有LSASS.EXE,但是只有一个,是SYSTEM的~那个是不是病毒啊?