資源描述:
《lsass病毒手工清除方法.doc》由會員上傳分享�����,免費在線閱讀�,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1���、如果你懶于修改注冊表,那么就用我作的專殺工具吧: lsass.exe專殺工具病毒癥狀 進程里面有2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程為病毒).雙擊D:盤打不開,只能通過右擊選擇打開來打開.用kaspersky掃描可以掃描出來,并且可以殺掉.但是重啟后又有兩個lsass.exe進程.該病毒是一個木馬程序,中毒后會在D盤根目錄下產(chǎn)生command.com和autorun.inf兩個文件�����,同時侵入注冊表破壞系統(tǒng)文件關(guān)聯(lián).該病毒修改注冊表啟動RUN鍵值,指向LSAS
2��、S.exe��,修改HKEY_CLASSES_ROOT下的.exe�����,exefile鍵值�����,并新建windowfile鍵值.將exe文件打開鏈接關(guān)聯(lián)到其生成的病毒程序%SYSTEMEXERT.exe上.該病毒新建如下文件: c:ewtro文件夾 c:programfilescommonfilesINTEXPLORE.pif c:programfilesinternetexplorerINTEXPLORE.com %SYSTEMdebugdebugprogram.exe %SYSTEMsystem32
3���、Anskya0.exe %SYSTEMsystem32dxdiag.com %SYSTEMsystem32MSCONFIG.com %SYSTEMsystem32egedit.com %SYSTEMsystem32LSASS.exe %SYSTEMsystem32EXERT.exe 解決方法 1.結(jié)束進程:調(diào)出windows務管理器(Ctrl+Alt+Del),發(fā)現(xiàn)通過簡單的右擊當前用戶名的lsass.exe來結(jié)束進程是行不通的.會彈出該進程為系統(tǒng)進程無法結(jié)束的提醒框;鼠標右鍵點擊"任務
4����、欄"�,選擇"任務管理器"。點擊菜單"查看(V)"->"選擇列(S)..."���,在彈出的對話框中選擇"PID(進程標識符)"��,并點擊"確定"��。找到映象名稱為"LSASS.exe"���,并且用戶名不是"SYSTEM"的一項,記住其PID號.點擊"開始"-->“運行”����,輸入"CMD"�,點擊"確定"打開命令行控制臺�。輸入"ntsd–cq-p(PID)",比如我的計算機上就輸入"ntsd–cq-p1132". 2.刪除病毒文件:以下要刪除的文件大多是隱藏文件所以要首先設(shè)置顯示所有的隱藏文件����、系統(tǒng)文件并顯示文
5、件擴展名;我的電腦-->工具(T)-->文件夾選項(O)...-->查看-->選擇"顯示所有文件和文件夾",并把隱藏受保護的操作系統(tǒng)文件(推薦)前的勾去掉,這時會彈出一個警告,選擇是.至此就顯示了所有的隱藏文件了(友情提示:待你把病毒清除后,請把"隱藏受保護的操作系統(tǒng)文件"打上鉤,要不然以后很容易誤刪東西哦). 截圖如下: 刪除如下幾個文件: C:NEWTRO文件夾 C:ProgramFilesCommonFilesINTEXPLORE.pif C:ProgramFilesInt
6�����、ernetExplorerINTEXPLORE.com C:WINDOWSEXERT.exe C:WINDOWSIO.SYS.BAK C:WINDOWSLSASS.exe C:WINDOWSDebugDebugProgram.exe C:WINDOWSsystem32dxdiag.com C:WINDOWSsystem32MSCONFIG.COM C:WINDOWSsystem32egedit.com 在D:盤上點擊鼠標右鍵����,選擇“打開”(直接雙擊打開會使病毒自動運行!)����。刪除掉該分區(qū)
7、根目錄下的"Autorun.inf"和"command.com"文件. 3.刪除注冊表中的其他垃圾信息.這個病毒該寫的注冊表位置相當多��,如果不進行修復將會有一些系統(tǒng)功能發(fā)生異常���?��! indows目錄下的"regedit.exe"改名為"regedit.com"并運行��,刪除以下項目: HKEY_CLASSES_ROOTWindowFiles HKEY_CURRENT_USERSoftwareVBandVBAProgramSettings HKEY_CURRENT_USERSoftwareMi
8�、crosoftInternetExplorerMain下面的Check_Associations項 HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面的ToP項 將HKEY_CLASSES_ROOT.exe的默認值修改為exefile(原來是wind
