 |
|
 |
| 您现在的位置: 先创网 >> 网络应用 >> 网络安全 >> 文章正文 |
|
|
| 与LSASS.EXE艰苦卓绝的战斗经验 |
| 瑞星 |
| 2007-8-21 11:47:06文/佚名 |
|
|
|
|
|
打开资源管理器,如果你发现了两个“LSASS.EXE”进程,恭喜你,中木马了
最近3个工作日,我的机器已经连续中此病毒5次鸟
不过不用怕,现在俺已经学会不用WINPE盘启动,就能根除此木马的办法
首先,我们说说这个LSASS.EXE的工作方式:
中了木马后,你除了能在进程里发现LSASS.EXE外,看看硬盘
%SYSTEM\下有好东西哦!EXERT.EXE和LSASS.EXE两个家伙。
Program Files\Common Files\下多出一个INTEXPLORE.pif
Program Files\Internet Explorer\下多出一个INTEXPLORE.COM
%SYSTEM\debug\下多了一个debugprogram.exe
%SYSTEM\system32\下多了好多东西,比如dxdiag.COM,MSCONFIG.COM,regedit.COM,0.EXE,1.EXE,2.EXE之类的东西,看生成日期,基本是一批货。
再看看你的D盘下,有没有autorum.inf和command.com两个家伙?
然后你进入注册表,会发现HKEY_CLASSES_ROOT下有2个东西被修改了.exe和exefile
现在我们已经基本清楚了这个木马的工作方式,它修改你的注册表,把所有.exe的文件都指向.com的文件,同时把exefile的默认键值修改,另你防不胜防。这样以来,你的主要exe文件都指向了病毒生成的com文件,达到浏览你所有操作的目的。
同时这个病毒还有一个讨厌的地方,在安全模式下一定要小心,不能运行regedit.exe,因为注册表被修改过,所以当你运行它时,LSASS.EXE会在安全模式下被启动。
下面说说应该怎么清除这个木马:
一、使用专杀工具清除
lsass.exe专杀工具下载地址:http://www.shadu5.com/kill-tools/2007-07-17/18.html
二、手动查杀
首先,你需要找一台跟你系统相同的电脑,或者是刚重新安装的电脑,把该系统注册表中HKEY_CLASSES_ROOT 下的.exe 和exefile的信息导出为.reg文件备用。
然后进入你电脑的安全模式,此处一定要注意,从开始菜单里选择“我的电脑”进入硬盘,千万别用资源浏览器,或者运行其他.exe文件。
之后把我们之前说到的那些病毒组件删除掉,此处你会发现,一旦你运行过任何的.exe文件之后,LSASS.EXE就不能被删除了
之后找一个安全的U盘,把之前做的2个.reg文件导入到系统,这样病毒就无法侵占你的系统了。
然后重新启动你的电脑吧 |
|
|
|
|
|
|
 |
|
 |
|
|
|
相关文章 
