打印本文 打印本文  关闭窗口 关闭窗口  
与LSASS.EXE艰苦卓绝的战斗经验
作者:陈鹏  文章来源:eNet  点击数  更新时间:2009/9/11 23:22:40  文章录入:陈鹏  责任编辑:陈鹏

打开资源管理器,如果你发现了“LSASS.EXE”进程,恭喜你,中木马了

  最近3个工作日,我的机器已经连续中此病毒5次鸟

  不过不用怕,现在俺已经学会不用WINPE盘启动,就能根除此木马的办法

  首先,我们说说这个LSASS.EXE的工作方式:

  中了木马后,你除了能在进程里发现LSASS.EXE外,看看硬盘

  %SYSTEM\下有好东西哦!EXERT.EXE和LSASS.EXE两个家伙。

  Program Files\Common Files\下多出一个INTEXPLORE.pif

  Program Files\Internet Explorer\下多出一个INTEXPLORE.COM

  %SYSTEM\debug\下多了一个debugprogram.exe

  %SYSTEM\system32\下多了好多东西,比如dxdiag.COM,MSCONFIG.COM,regedit.COM,0.EXE,1.EXE,2.EXE之类的东西,看生成日期,基本是一批货。

  再看看你的D盘下,有没有autorum.inf和command.com两个家伙?

  然后你进入注册表,会发现HKEY_CLASSES_ROOT下有2个东西被修改了.exe和exefile

  现在我们已经基本清楚了这个木马的工作方式,它修改你的注册表,把所有.exe的文件都指向.com的文件,同时把exefile的默认键值修改,另你防不胜防。这样以来,你的主要exe文件都指向了病毒生成的com文件,达到浏览你所有操作的目的。

  同时这个病毒还有一个讨厌的地方,在安全模式下一定要小心,不能运行regedit.exe,因为注册表被修改过,所以当你运行它时,LSASS.EXE会在安全模式下被启动。

  下面说说应该怎么清除这个木马:

  一、使用专杀工具清除

  lsass.exe专杀工具下载地址:http://www.shadu5.com/kill-tools/2007-07-17/18.html

  二、手动查杀

  首先,你需要找一台跟你系统相同的电脑,或者是刚重新安装的电脑,把该系统注册表中HKEY_CLASSES_ROOT 下的.exe 和exefile的信息导出为.reg文件备用。

  然后进入你电脑的安全模式,此处一定要注意,从开始菜单里选择“我的电脑”进入硬盘,千万别用资源浏览器,或者运行其他.exe文件。

  之后把我们之前说到的那些病毒组件删除掉,此处你会发现,一旦你运行过任何的.exe文件之后,LSASS.EXE就不能被删除了

  之后找一个安全的U盘,把之前做的2个.reg文件导入到系统,这样病毒就无法侵占你的系统了。

  然后重新启动你的电脑吧

  

  

【责任编辑 彭凡】

打印本文 打印本文  关闭窗口 关闭窗口