社区应用 最新帖子 精华区 社区服务 会员列表 统计排行 社区论坛任务 迷你宠物
  • 4488阅读
  • 2回复

[其他]lsass.exe木马完全清除方法

级别: 经院博士
发帖
3975
铜板
4727
人品值
1147
贡献值
565
交易币
0
好评度
3833
信誉值
0
金币
0
所在楼道
学一楼
lsass.exe木马手工清除 4dO~C  
2+QYhdw  
症状 zgNc4B  
=5/9%P8j9  
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上. 8<8:+M}  
pTPi@SBaP{  
该病毒新建如下文件: lI*o@wQg  
= \'}g?  
c:\program files\common files\INTEXPLORE.pif n `&/ D  
c:\program files\internet explorer\INTEXPLORE.com m[~V/N3  
%SYSTEM\debug\debugprogram.exe Xejo_SV&?  
%SYSTEM\system32\Anskya0.exe jL%x7?*U0  
%SYSTEM\system32\dxdiag.com 8Kg n"M3  
%SYSTEM\system32\MSCONFIG.com j|U#)v/  
%SYSTEM\system32\regedit.com r+":'/[x  
%SYSTEM\system32\LSASS.exe rH_\ d?b  
%SYSTEM\system32\EXERT.exe }1Gv)l7  
Cd,jDPrw  
解决方法 *>|gxM8  
1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1064". gW>uR3Ca4  
'ig&$fzb  
2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了. #_6I w`0  
Q=AavKn#  
注:也可用些杀进程得软件 j27?w<  
`j,Yb]~s79  
删除如下几个文件: H*ow\ Ct  
Nl^;A> <u  
C:\Program Files\Common Files\INTEXPLORE.pif $ M`hh{ -  
C:\Program Files\Internet Explorer\INTEXPLORE.com M?Dfu .t  
C:\WINDOWS\EXERT.exe o]yl ;I  
C:\WINDOWS\IO.SYS.BAK QZ6D7t Uc8  
C:\WINDOWS\LSASS.exe pR(jglm7-  
C:\WINDOWS\Debug\DebugProgram.exe }+.}J  
C:\WINDOWS\system32\dxdiag.com \fG#7_wt  
C:\WINDOWS\system32\MSCONFIG.COM "P 7nNa  
C:\WINDOWS\system32\regedit.com _FpTFfB  
JmxH"7hTE  
D:\COMMAND.COM &dM. d!  
D:\Autorun.inf N5Q[nd  
在D:盘上点击鼠标右键,选择“打开”(不要双击)删除掉该分区根目录下的"Autorun.inf"和"command.com"文件. lR )67a  
c 0,0`+2~  
3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。 w,#>G07D  
7gf05Z'=  
&e @2  
将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目: K2TcOFQ  
HKEY_CLASSES_ROOT\WindowFiles  gbF+WE  
HKEY_CURRENT_USER\Software\VB and VBA Program Settings ,:%CB"J  
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项 U{2BVqM  
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif gG0!C))8  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项 ]Lf{Jboo  
9IjIIM2y  
eD,.~Y#?=  
将HKEY_CLASSES_ROOT\.exe的默认值修改为 "exefile"(原来是windowsfile) X <f8,n  
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 |2O]R s  
"C:\Program Files\Internet Explorer\iexplore.exe" %1" (原来是intexplore.com) ~IYUuWF(  
q]T1dz?  
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} VCV"S>aVf  
\shell\OpenHomePage\Command 的默认值修改为 "C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com) d' !]ZWe  
((H^2KJn  
将HKEY_CLASSES_ROOT \ftp\shell\open\command 和 HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command |XQIfW]A  
的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1" (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif) Q_"]+i]s@  
GWZ }7ake  
将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 6HT ;#Znn  
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为 "C:\Program Files\Internet Explorer\iexplore.exe" –nohome” smlpD3?va  
;rF\kX&Jh  
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif) 2;k*@k-t  
Sdp&jZY  
重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕
评价一下你浏览此帖子的感受

精彩

感动

搞笑

开心

愤怒

无聊

灌水
引用

引用
想找我?如果我即不在 石家庄经济学院论坛www.uebbs.net,也不在宿舍,那,我肯定是在去的路上

引用
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 2 发表于: 2006-06-08
看看~~~~~~~~
级别: 经院博士
发帖
3975
铜板
4727
人品值
1147
贡献值
565
交易币
0
好评度
3833
信誉值
0
金币
0
所在楼道
学一楼
只看该作者 1 发表于: 2006-06-08
C:\WINDOWS\LSASS.exe v:IpMU-+\  
这是个针对瑞星的木马。估计你的瑞星防火墙得重装了(rfwcfg.exe被改写了)。 N4v~;;@(  
———————————————— NSxoF3  
PRx8I .  
木马Trojan.Agent.awa的手工查杀流程: 2<i!{;u$qL  
'=39+*6?  
1、断开网络连接。关闭瑞星杀软及瑞星防火墙(已被木马进程插入)。 I@T8Iv=  
2、结束木马进程C:\windows\LSASS.EXE。 Z_$%.  
3、删除木马文件(见附图) Y1OCLnK~  
4、重启。清理注册表: G? ])o5  
先将RegFix或SREng的后缀改为.com 或.bat,再运行之。(恢复HKEY_CLASSES_ROOT\.exe的键值)。 o*-)Tq8GHE  
展开:HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command h?AS{`.1  
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1" = i$Fl{vH  
展开:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command J1,9kCO  
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1" caU0\VS  
展开:HKEY_CLASSES_ROOT\ftp\shell\open\command }u\])I3  
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1" qB~rQPa  
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command 1ct;A_48  
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome" VU#`oJ:{  
展开HKEY_CLASSES_ROOT\.exe r)lEofX,g+  
删除WindowFiles rV2WnAb[H&  
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings y=fx%~<> 8  
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}" -f3p U:G8  
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run eX?OYDDC0j  
删除Top {o)Lc6T8s  
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 4QH3fTv   
删除wextract_cleanup0
引用

引用
想找我?如果我即不在 石家庄经济学院论坛www.uebbs.net,也不在宿舍,那,我肯定是在去的路上

引用
描述
快速回复

您目前还是游客,请 登录注册
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
认证码:
验证问题:
10+5=?,请输入中文答案:十五