|
|
<BR>
<P> 郁闷啊,今天终于中病毒了,偶最新病毒库的卡巴斯基一直叫个不停(只是叫,就是杀不了),呵呵,带着无比激动的心情,我找到了易博特兄弟的博客,文章原文如下(图片等稍作了修改,由于下面要修改的注册表信息太多,所以希望中病毒的朋友能够耐心的按步骤做下来),刚才查了一下,这个病毒好像叫 如雪 ,名字很好听,咋就这么毒呢。</P>
<P> 如果你懒于修改注册表,那么就用我作的专杀工具吧:</P>
<P> <A href="http://down.ddvip.com/view/11568296234642.html" target=_blank>lsass.exe专杀工具</A></P>病毒症状
<P> 进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEMEXERT.exe上.该病毒新建如下文件:</P>
<P> c: ewtro文件夹</P>
<P> c:program filescommon filesINTEXPLORE.pif</P>
<P> c:program filesinternet explorerINTEXPLORE.com</P>
<P> %SYSTEMdebugdebugprogram.exe</P>
<P> %SYSTEMsystem32Anskya0.exe</P>
<P> %SYSTEMsystem32dxdiag.com</P>
<P> %SYSTEMsystem32MSCONFIG.com</P>
<P> %SYSTEMsystem32 egedit.com</P>
<P> %SYSTEMsystem32LSASS.exe</P>
<P> %SYSTEMsystem32EXERT.exe</P>
<P> 解决方法</P>
<P> 1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-->“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1132".</P>
<P> <IMG onclick=get_larger(this) src="http://img.ddvip.com/2007_03/1174637881_ddvip_4551.jpg"><IMG onclick=get_larger(this) src="http://img.ddvip.com/2007_03/1174637882_ddvip_7070.jpg"></P>
<P> 2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了(友情提示:待你把病毒清除后,请把"隐藏受保护的操作系统文件"打上钩,要不然以后很容易误删东西哦).</P>
<P> 截图如下:</P>
<P> <IMG onclick=get_larger(this) src="http://img.ddvip.com/2007_03/1174637890_ddvip_7660.jpg"></P>
<P> <IMG onclick=get_larger(this) src="http://img.ddvip.com/2007_03/1174637904_ddvip_9327.jpg"></P>
<P> <IMG style="WIDTH: 550px" onclick=get_larger(this) src="http://img.ddvip.com/2007_03/1174637904_ddvip_2781.jpg"></P>
<P align=right><FONT color=#000000></FONT> </P>
<P> 删除如下几个文件:</P>
<P> C:NEWTRO文件夹</P>
<P> C:Program FilesCommon FilesINTEXPLORE.pif</P>
<P> C:Program FilesInternet ExplorerINTEXPLORE.com</P>
<P> C:WINDOWSEXERT.exe</P>
<P> C:WINDOWSIO.SYS.BAK</P>
<P> C:WINDOWSLSASS.exe</P>
<P> C:WINDOWSDebugDebugProgram.exe</P>
<P> C:WINDOWSsystem32dxdiag.com</P>
<P> C:WINDOWSsystem32MSCONFIG.COM</P>
<P> C:WINDOWSsystem32 egedit.com</P>
<P> 在D:盘上点击鼠标右键,选择“打开”(直接双击打开会使病毒自动运行!)。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.</P>
<P> 3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。</P>
<P> 将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:</P>
<P> HKEY_CLASSES_ROOTWindowFiles</P>
<P> HKEY_CURRENT_USERSoftwareVB and VBA Program Settings</P>
<P> HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下面的 Check_Associations项</P>
<P> HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif</P>
<P> HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面的ToP项</P>
<P> 将HKEY_CLASSES_ROOT.exe的默认值修改为exefile(原来是windowsfile)</P>
<P> 将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand的默认值修改为</P>
<P> "C:Program FilesInternet Exploreriexplore.exe" %1(原来是intexplore.com)</P>
<P> 将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand</P>
<P> 的默认值修改为"C:Program FilesInternet ExplorerIEXPLORE.EXE"(原来是INTEXPLORE.com)</P>
<P> 将HKEY_CLASSES_ROOT ftpshellopencommand</P>
<P> 和HKEY_CLASSES_ROOThtmlfileshellopennewcommand</P>
<P> 的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" %1</P>
<P> (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)</P>
<P> 将HKEY_CLASSES_ROOT htmlfileshellopencommand 和</P>
<P> HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为</P>
<P> "C:Program FilesInternet Exploreriexplore.exe" –nohome</P>
<P> 将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet</P>
<P> 的默认值修改为IEXPLORE.EXE.(原来是INTEXPLORE.pif)</P>
<P> 重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕.Enjoy It .</P>
<P> (我在按易博兄的步骤作到这一步时,发现系统自动生成了一个regedit.exe,那么你把regedit.com删除就可以了)</P>
<P> --------------------------------------------------------------------------------</P>
<P> 相关知识</P>
<P> 进程文件:lsass或者lsass.exe</P>
<P> 进程名称:local安全等级作者ityservice</P>
<P> 描述:lsass.exe是一个关于微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略</P>
<P> 出品者:microsoft corp.</P>
<P> 属于:windows系统</P>
<P> 系统进程:是</P>
<P> 后台进程:是</P>
<P> 使用网络:否</P>
<P> 硬件相关:否</P>
<P> 常见错误:未知</P>
<P> 内存使用:未知</P>
<P> 安全等级:0</P>
<P> 间谍软件:否</P>
<P> 广告软件:否</P>
<P> 病毒:否</P>
<P> 木马:否</P>
<P align=right> </P> <BR>
|
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡