作者Hoshinomari (Hey~)
看板AntiVirus
标题[中毒] 中lsass毒 & 无法重灌
时间Sat Jun 28 23:57:37 2008
PO文请使用下列格式并将有要求的档案附上
资料越详细才有办法了解情况并作适当处理
1.问题描述:
因为这两天开IE时,会跳出"
http://www.97zb.cn/的网站
刚刚爬文看了一下,才发现我的工作管理员里有"lsass.exe"及"smss.exe"两个档。
搜寻到的位置是在c:\windows\system32里
但实际到资料夹里之後却看不到,所以用前面大大提供的程式都没办法杀除。
用OTMoveIt等程式试也都说被锁住无法删除。
因为爬文的方法都没办法解决,再加上我也不是很懂,所以就想说乾脆整个重灌。
可是没想到在开机选了用光碟开机打算重灌电脑时,却没办法进入光碟。
有到"press any key to boot CD/DVD",但是这时按键盘都没反应
所以就直接自己又跳入windows。
应该不是光碟的问题,因为我试了很多片,在windows里光碟也都能正常开启。
开机後按F12要选boot的方式时,也是跳进选择的画面後就都动不了
按上下键、enter都没有反应。
也无法进安全模式
4.报告连结:
请将扫描报告(log)贴於下方 (上面的全要)
Combofix :无
Hijackthis:
http://sun.cis.scu.edu.tw/~92a39/upload/30899.txt
SRENG :
http://sun.cis.scu.edu.tw/~92a39/upload/30903.txt
Efix :
http://sun.cis.scu.edu.tw/~92a39/upload/30902.txt
请各位懂的大人教教我吧Orz
虽然目前实际实用的影响不大,但不能重灌很困扰......
谢谢!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 118.165.1.4
1F:推 Tequila7211:从SREng报告中看到 lsass.exe smss.exe 这两个 06/29 00:11
2F:→ Tequila7211:执行程序调用了卡巴KIS7.0的dll档 你当然无法删除 06/29 00:12
3F:→ Tequila7211:因为卡巴有自我防护功能 防止外部直接删除他的档案 06/29 00:13
4F:→ Tequila7211:所以我想这两个应该不是病毒喔 06/29 00:13
5F:→ Hoshinomari:谢谢T大的解惑>___< 不过会自动跳出来的网页是..@@ 06/29 00:21
6F:推 Tequila7211:那个网页我进不去= =" 没办法知道那是啥 06/29 00:35
8F:推 Tequila7211:这很明显是一般广告视窗... 06/29 00:48
9F:推 junorn:跑个getsysteminfo的报告给T大看一下吧。 06/29 00:48
10F:推 Tequila7211:版大别整我了 Orz这还不用到跑那个报告吧 06/29 00:50
11F:→ Hoshinomari:不过我是一开IE广告页就自己跑出来了@@ 之前没有~ 06/29 01:03
12F:推 junorn:看看啦~~这边也看不出什麽异常 06/29 01:04
13F:推 junorn:arp吧我猜 06/29 01:04
14F:推 Tequila7211:报告中有看到你有用KIS7.0 难道没帮你档下来? 06/29 01:06
15F:→ Hoshinomari:就是没有挡下来,所以我也搞不懂orz 06/29 01:07
16F:→ Hoshinomari:昨天一度是卡巴完全开不开,重开机後也不会开 06/29 01:07
17F:→ Hoshinomari:刚刚另外装了金山毒霸扫过一次毒,之後卡巴才又能开 06/29 01:08
18F:推 Tequila7211:所以昨天应该是中了IFEO的关系 06/29 01:11
19F:→ Tequila7211:你卡巴设定可能也乱了 请到服务->重新设定 06/29 01:13
20F:→ Tequila7211:里面所有选项打勾 接着一直下一步到完成 再尝试看看 06/29 01:13
21F:→ YTsungL:这两支都是Windows的重要档案, 非病毒, 除非被infect罗 06/29 12:17
22F:推 vagabondfox:个人经验… 中lsass的话,程序会是大写的「LSASS」 06/29 18:12