upside
 
   
  
 反病毒 反詐騙 反虐犬
|
分享:
▼
x0
|
lsass.exe病毒木馬手工清除方法
病毒症狀
進程裏面有2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程爲病毒).雙擊D:盤打不開,只能通過右擊選擇打開來打開.用kaspersky掃描可以掃描出來,並且可以殺掉.但是重啓後又有兩個lsass.exe進程.該病毒是一個木馬程序,中毒後會在D盤根目錄下産生command.com和autorun.inf兩個文件,同時侵入注冊表破壞係統文件關聯.該病毒修改注冊表啓動RUN鍵值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile鍵值,並新建windowfile鍵值.將exe文件打開鏈接關聯到其生成的病毒程序%SYSTEM\EXERT.exe上.
該病毒新建如下文件:
c:\program files\common files\INTEXPLORE.pif
c:\program files\internet explorer\INTEXPLORE.com
%SYSTEM\debug\debugprogram.exe
%SYSTEM\system32\Anskya0.exe
%SYSTEM\system32\dxdiag.com
%SYSTEM\system32\MSCONFIG.com
%SYSTEM\system32\regedit.com
%SYSTEM\system32\LSASS.exe
%SYSTEM\system32\EXERT.exe
解決方法
1.結束進程:調出windows務管理器(Ctrl+Alt+Del),發現通過簡單的右擊當前用戶名的lsass.exe來結束進程是行不通的.會彈出該進程爲係統進程無法結束的提醒框;鼠標右鍵點擊"任務欄",選擇"任務管理器"。點擊菜單"查看(V)"->"選擇列(S)...",在彈出的對話框中選擇"PID(進程標識符)",並點擊"確定"。找到映象名稱爲"LSASS.exe",並且用戶名不是"SYSTEM"的一項,記住其PID號.點擊"開始"-》“運行”,輸入"CMD",點擊"確定"打開命令行控制台。輸入"ntsd –c q -p (PID)",比如我的計算機上就輸入"ntsd –c q -p 1064".
2.刪除病毒文件:以下要刪除的文件大多是隱藏文件所以要首先設置顯示所有的隱藏文件、係統文件並顯示文件擴展名;我的電腦-->工具(T)-->文件夾選項(O)...-->查看-->選擇"顯示所有文件和文件夾",並把隱藏受保護的操作係統文件(推薦)前的勾去掉,這時會彈出一個警告,選擇是.至此就顯示了所有的隱藏文件了.
刪除如下幾個文件:
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
|
