lsass.exe木马手工清除 TLf9>=
OVh
M9f?q.Bv
症状 !k(_PM
{(#%N5%
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上. Hb(B?!M)
16EVl~LN
该病毒新建如下文件:
6vTo*8D
0hn-FH-XE
c:\program files\common files\INTEXPLORE.pif Q2];RS3.
c:\program files\internet explorer\INTEXPLORE.com qcJft'>F
%SYSTEM\debug\debugprogram.exe 70Yjv1i
%SYSTEM\system32\Anskya0.exe c$,_>tcP
%SYSTEM\system32\dxdiag.com Lru-u:
%SYSTEM\system32\MSCONFIG.com h~,JdDV8l*
%SYSTEM\system32\regedit.com qr50E[
%SYSTEM\system32\LSASS.exe \^K&vW;
%SYSTEM\system32\EXERT.exe xwZ8D<e-,
YyJPHw)Z
解决方法 $BDBN_p
1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1064". $W42vjr4
C#=bW'C
2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了. 4Kv[e]10(
\mN[gT}LHm
注:也可用些杀进程得软件 Q U
F$@)A
G02m/8g3
删除如下几个文件: }o,z!_^PLQ
+P`(Rf"luu
C:\Program Files\Common Files\INTEXPLORE.pif \#x}q'BC4
C:\Program Files\Internet Explorer\INTEXPLORE.com V*$L;xbC|
C:\WINDOWS\EXERT.exe !b-bP,q
C:\WINDOWS\IO.SYS.BAK Na,_
C:\WINDOWS\LSASS.exe *Sf-;U
C:\WINDOWS\Debug\DebugProgram.exe <n\`d
C:\WINDOWS\system32\dxdiag.com )g@S%Yu
C:\WINDOWS\system32\MSCONFIG.COM "4j:[9vR\
C:\WINDOWS\system32\regedit.com rba;&D;
}T0K^Oe+eS
D:\COMMAND.COM p(m1O70C
D:\Autorun.inf 5[9bWB{
在D:盘上点击鼠标右键,选择“打开”(不要双击)删除掉该分区根目录下的"Autorun.inf"和"command.com"文件. X#UMIlU
OAZ#|U
3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。 '69ZdP/xX
oXt,e
)W&>[B
将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目: Qc{RaMwD
HKEY_CLASSES_ROOT\WindowFiles +f;CyMEp
HKEY_CURRENT_USER\Software\VB and VBA Program Settings Q1&P@Io$
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项 +>g`m)?p
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif =KX<_;E
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项 nxap\Lf
I5);jgb
FkupO
[KI
将HKEY_CLASSES_ROOT\.exe的默认值修改为 "exefile"(原来是windowsfile) AdoZs8Q
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 w,j cm;
"C:\Program Files\Internet Explorer\iexplore.exe" %1" (原来是intexplore.com) {sv{847V
rp:wQH7
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} <B&R6<]T
\shell\OpenHomePage\Command 的默认值修改为 "C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com) k6?cP0I)5
VzRx%j/i
将HKEY_CLASSES_ROOT \ftp\shell\open\command 和 HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command j%*7feSNC
的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1" (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif) D;F{1[s(
fd8#Ng"1
将HKEY_CLASSES_ROOT \htmlfile\shell\open\command %xyX8c{sP
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为 "C:\Program Files\Internet Explorer\iexplore.exe" –nohome” -#A:`/22
c;I, O
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif) +MO E
gKb0)4 AK
重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕