作者Hoshinomari (Hey~)
看板AntiVirus
標題[中毒] 中lsass毒 & 無法重灌
時間Sat Jun 28 23:57:37 2008
PO文請使用下列格式並將有要求的檔案附上
資料越詳細才有辦法了解情況並作適當處理
1.問題描述:
因為這兩天開IE時,會跳出"
http://www.97zb.cn/的網站
剛剛爬文看了一下,才發現我的工作管理員裡有"lsass.exe"及"smss.exe"兩個檔。
搜尋到的位置是在c:\windows\system32裡
但實際到資料夾裡之後卻看不到,所以用前面大大提供的程式都沒辦法殺除。
用OTMoveIt等程式試也都說被鎖住無法刪除。
因為爬文的方法都沒辦法解決,再加上我也不是很懂,所以就想說乾脆整個重灌。
可是沒想到在開機選了用光碟開機打算重灌電腦時,卻沒辦法進入光碟。
有到"press any key to boot CD/DVD",但是這時按鍵盤都沒反應
所以就直接自己又跳入windows。
應該不是光碟的問題,因為我試了很多片,在windows裡光碟也都能正常開啟。
開機後按F12要選boot的方式時,也是跳進選擇的畫面後就都動不了
按上下鍵、enter都沒有反應。
也無法進安全模式
4.報告連結:
請將掃描報告(log)貼於下方 (上面的全要)
Combofix :無
Hijackthis:
http://sun.cis.scu.edu.tw/~92a39/upload/30899.txt
SRENG :
http://sun.cis.scu.edu.tw/~92a39/upload/30903.txt
Efix :
http://sun.cis.scu.edu.tw/~92a39/upload/30902.txt
請各位懂的大人教教我吧Orz
雖然目前實際實用的影響不大,但不能重灌很困擾......
謝謝!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.165.1.4
1F:推 Tequila7211:從SREng報告中看到 lsass.exe smss.exe 這兩個 06/29 00:11
2F:→ Tequila7211:執行程序調用了卡巴KIS7.0的dll檔 你當然無法刪除 06/29 00:12
3F:→ Tequila7211:因為卡巴有自我防護功能 防止外部直接刪除他的檔案 06/29 00:13
4F:→ Tequila7211:所以我想這兩個應該不是病毒喔 06/29 00:13
5F:→ Hoshinomari:謝謝T大的解惑>___< 不過會自動跳出來的網頁是..@@ 06/29 00:21
6F:推 Tequila7211:那個網頁我進不去= =" 沒辦法知道那是啥 06/29 00:35
8F:推 Tequila7211:這很明顯是一般廣告視窗... 06/29 00:48
9F:推 junorn:跑個getsysteminfo的報告給T大看一下吧。 06/29 00:48
10F:推 Tequila7211:版大別整我了 Orz這還不用到跑那個報告吧 06/29 00:50
11F:→ Hoshinomari:不過我是一開IE廣告頁就自己跑出來了@@ 之前沒有~ 06/29 01:03
12F:推 junorn:看看啦~~這邊也看不出什麼異常 06/29 01:04
13F:推 junorn:arp吧我猜 06/29 01:04
14F:推 Tequila7211:報告中有看到你有用KIS7.0 難道沒幫你檔下來? 06/29 01:06
15F:→ Hoshinomari:就是沒有擋下來,所以我也搞不懂orz 06/29 01:07
16F:→ Hoshinomari:昨天一度是卡巴完全開不開,重開機後也不會開 06/29 01:07
17F:→ Hoshinomari:剛剛另外裝了金山毒霸掃過一次毒,之後卡巴才又能開 06/29 01:08
18F:推 Tequila7211:所以昨天應該是中了IFEO的關係 06/29 01:11
19F:→ Tequila7211:你卡巴設定可能也亂了 請到服務->重新設定 06/29 01:13
20F:→ Tequila7211:裡面所有選項打勾 接著一直下一步到完成 再嘗試看看 06/29 01:13
21F:→ YTsungL:這兩支都是Windows的重要檔案, 非病毒, 除非被infect囉 06/29 12:17
22F:推 vagabondfox:個人經驗… 中lsass的話,程序會是大寫的「LSASS」 06/29 18:12