这个病毒处理很棘手，手工操作很烦琐 请看这里的处理方法 http://bbs.czpc.cn/showthread.php?t=293 病毒症状 进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击 D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉. 但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生 command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册 表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建 windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上. 该病毒新建如下文件： c:\program files\common files\INTEXPLORE.pif c:\program files\internet explorer\INTEXPLORE.com %SYSTEM\debug\debugprogram.exe %SYSTEM\system32\Anskya0.exe %SYSTEM\system32\dxdiag.com %SYSTEM\system32\MSCONFIG.com %SYSTEM\system32\regedit.com %SYSTEM\system32\LSASS.exe %SYSTEM\system32\EXERT.exe 解决方法 1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的 lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点 击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框 中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不 是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开 命令行控制台。输入"ntsd 梊c q -p (PID)"，比如我的计算机上就输入"ntsd 梊c q -p 1064". 2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、 系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显 示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个 警告,选择是.至此就显示了所有的隐藏文件了. 删除如下几个文件： C:\Program Files\Common Files\INTEXPLORE.pif C:\Program Files\Internet Explorer\INTEXPLORE.com C:\WINDOWS\EXERT.exe C:\WINDOWS\IO.SYS.BAK C:\WINDOWS\LSASS.exe C:\WINDOWS\Debug\DebugProgram.exe C:\WINDOWS\system32\dxdiag.com C:\WINDOWS\system32\MSCONFIG.COM C:\WINDOWS\system32\regedit.com 在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和 "command.com"文件. 3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多，如果不进行修复将会 有一些系统功能发生异常。 将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目： HKEY_CLASSES_ROOT\WindowFiles HKEY_CURRENT_USER\Software\VB and VBA Program Settings HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项 HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项 将HKEY_CLASSES_ROOT\.exe的默认值修改为 "exefile"(原来是windowsfile) 将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 "C:\Program Files\Internet Explorer\iexplore.exe" %1" (原来是intexplore.com) 将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默认值修改为 "C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com) 将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1" (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif) 将HKEY_CLASSES_ROOT \htmlfile\shell\open\command HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为 "C:\Program Files\Internet Explorer\iexplore.exe" 梊nohome” 将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif) 重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕 .Enjoy It . ※ 引述《SaintAnt ( )》之铭言： : 先跟lost大说声谢谢 : 不过还是有些问题　详列如下 : ※ 引述《lostname (never mind)》之铭言： : : █ XP使用者请关闭系统还原 (z->1->1) : : 请到安全模式中, : : 开看得到隐藏档&系统档, 找到下面的位置然後删除黄字的档案或资料夹 : : C:\WINDOWS\SMSS.EXE : 目前只有找到smss.exe﹙小写的正常系统程式﹚ : : █ 回到一般模式後, 重跑一次hijackthis,然後打勾fix以下 : : (如果有没出现的, 可以先使用电脑一段时间後再扫) : : O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\SMSS.EXE : : F2 - REG:system.ini: Shell=Explorer.exe : 两个都有看到 : fix之後暂时会消失　不过没多久之後又会继续出现 : 附上log档 http://sun.cis.scu.edu.tw/~92a39/upload/5588.txt : 感恩感恩！ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 222.136.104.136