打印本文 关闭窗口 | |
与LSASS.EXE艰苦卓绝的战斗经验 | |
作者:陈鹏 文章来源:eNet 点击数 更新时间:2009/9/11 23:22:40 文章录入:陈鹏 责任编辑:陈鹏 | |
|
|
最近3个工作日,我的机器已经连续中此病毒5次鸟 不过不用怕,现在俺已经学会不用WINPE盘启动,就能根除此木马的办法 首先,我们说说这个LSASS.EXE的工作方式: 中了木马后,你除了能在进程里发现LSASS.EXE外,看看硬盘 %SYSTEM\下有好东西哦!EXERT.EXE和LSASS.EXE两个家伙。 Program Files\Common Files\下多出一个INTEXPLORE.pif Program Files\Internet Explorer\下多出一个INTEXPLORE.COM %SYSTEM\debug\下多了一个debugprogram.exe %SYSTEM\system32\下多了好多东西,比如dxdiag.COM,MSCONFIG.COM,regedit.COM,0.EXE,1.EXE,2.EXE之类的东西,看生成日期,基本是一批货。 再看看你的D盘下,有没有autorum.inf和command.com两个家伙? 然后你进入注册表,会发现HKEY_CLASSES_ROOT下有2个东西被修改了.exe和exefile 现在我们已经基本清楚了这个木马的工作方式,它修改你的注册表,把所有.exe的文件都指向.com的文件,同时把exefile的默认键值修改,另你防不胜防。这样以来,你的主要exe文件都指向了病毒生成的com文件,达到浏览你所有操作的目的。 同时这个病毒还有一个讨厌的地方,在安全模式下一定要小心,不能运行regedit.exe,因为注册表被修改过,所以当你运行它时,LSASS.EXE会在安全模式下被启动。 下面说说应该怎么清除这个木马: 一、使用专杀工具清除 lsass.exe专杀工具下载地址:http://www.shadu5.com/kill-tools/2007-07-17/18.html 二、手动查杀 首先,你需要找一台跟你系统相同的电脑,或者是刚重新安装的电脑,把该系统注册表中HKEY_CLASSES_ROOT 下的.exe 和exefile的信息导出为.reg文件备用。 然后进入你电脑的安全模式,此处一定要注意,从开始菜单里选择“我的电脑”进入硬盘,千万别用资源浏览器,或者运行其他.exe文件。 之后把我们之前说到的那些病毒组件删除掉,此处你会发现,一旦你运行过任何的.exe文件之后,LSASS.EXE就不能被删除了 之后找一个安全的U盘,把之前做的2个.reg文件导入到系统,这样病毒就无法侵占你的系统了。 然后重新启动你的电脑吧 【责任编辑 彭凡】 |
|
打印本文 关闭窗口 |