廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 17428 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] lsass.exe病毒木馬手工清除方法
lsass.exe病毒木馬手工清除方法
病毒症狀
進程裏面有2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程爲病毒).雙擊D:盤打不開,只能通過右擊選擇打開來打開.用kaspersky掃描可以掃描出來,並且可以殺掉.但是重啓後又有兩個lsass.exe進程.該病毒是一個木馬程序,中毒後會在D盤根目錄下産生command.com和autorun.inf兩個文件,同時侵入注冊表破壞係統文件關聯.該病毒修改注冊表啓動RUN鍵值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile鍵值,並新建windowfile鍵值.將exe文件打開鏈接關聯到其生成的病毒程序%SYSTEM\EXERT.exe上.

該病毒新建如下文件:

c:\program files\common files\INTEXPLORE.pif
c:\program files\internet explorer\INTEXPLORE.com
%SYSTEM\debug\debugprogram.exe
%SYSTEM\system32\Anskya0.exe
%SYSTEM\system32\dxdiag.com
%SYSTEM\system32\MSCONFIG.com
%SYSTEM\system32\regedit.com
%SYSTEM\system32\LSASS.exe
%SYSTEM\system32\EXERT.exe

解決方法
1.結束進程:調出windows務管理器(Ctrl+Alt+Del),發現通過簡單的右擊當前用戶名的lsass.exe來結束進程是行不通的.會彈出該進程爲係統進程無法結束的提醒框;鼠標右鍵點擊"任務欄",選擇"任務管理器"。點擊菜單"查看(V)"->"選擇列(S)...",在彈出的對話框中選擇"PID(進程標識符)",並點擊"確定"。找到映象名稱爲"LSASS.exe",並且用戶名不是"SYSTEM"的一項,記住其PID號.點擊"開始"-》“運行”,輸入"CMD",點擊"確定"打開命令行控制台。輸入"ntsd –c q -p (PID)",比如我的計算機上就輸入"ntsd –c q -p 1064".

2.刪除病毒文件:以下要刪除的文件大多是隱藏文件所以要首先設置顯示所有的隱藏文件、係統文件並顯示文件擴展名;我的電腦-->工具(T)-->文件夾選項(O)...-->查看-->選擇"顯示所有文件和文件夾",並把隱藏受保護的操作係統文件(推薦)前的勾去掉,這時會彈出一個警告,選擇是.至此就顯示了所有的隱藏文件了.

刪除如下幾個文件:

C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣 | Posted:2006-12-20 19:15 |
小威 手機
個人文章 個人相簿 個人日記 個人地圖
小有名氣
級別: 小有名氣 該用戶目前不上站
推文 x0 鮮花 x181
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

如果無法進入win xp作業系統 ,甚至安全模式都無法進入?
請問該如何解決? 用修復程式去刪除病毒新建檔案嗎?


擦去轉身離去之後 不爭氣的淚! 燦爛笑容滲雜著汗水。
獻花 x0 回到頂端 [1 樓] From:臺灣中華HiNet | Posted:2008-02-07 13:59 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用小威於2008-02-07 13:59發表的 :
如果無法進入win xp作業系統 ,甚至安全模式都無法進入?
請問該如何解決? 用修復程式去刪除病毒新建檔案嗎?
如果連系統都無法進入 只能使用 pe 光碟來開啟
清除問題點後 才能正在使用系統
不過是此毒所造成的嗎


爸爸 你一路好走
獻花 x0 回到頂端 [2 樓] From:臺灣和信超媒體寬帶網 | Posted:2008-02-08 00:55 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.089917 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言