扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:病毒专杀在线 2008年5月7日
近期发现lsass.exe病毒一新变种,通过U盘自动传播。传播极为迅速!
病毒名称:未知(估计为lsass.exe进程病毒变种)
病毒类型:通过U盘传播的盗号木马
病毒危害级别:高
病毒发作现象及危害:
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒),且占用较大量的系统资源.可强行中止该进程后,删除该进程原文件c:windowslsass.exe。但是重启后又有两个lsass.exe进程.估计该病毒是一个木马程序,中毒后会在D盘或者其他盘符根目录下产生autorun.inf文件和一个名为runauto...的文件夹,同时侵入注册表.修改注册表启动RUN键值,指向LSASS.exe。其余注册表修改情况不明。病毒在系统盘windows下生成lsass.exe、cmd.exe.exe、regedit.exe.exe、诸如r.exe、ro.exe……的文件。msconfig无法运行。
解决办法(已解决):点击开始-运行,输入gpedit.msc,进入组策略设置。选中计算机配置-管理模板下面的系统选项,右键点击里面“关闭自动播放”一项,点击属性,选择“已启用”,并关闭所有驱动器自动播放!然后运行附件内的程序进行病毒清除及msconfig等功能修复。
如需手动杀除请参阅如下介绍:
推荐用“开始-运行-command”操作。
先显示所有隐藏文件、系统文件。(控制面板-文件夹选项-查看里面把隐藏文件显示)
先删除C:WINDOWScmd.exe.exe (如果没有就跳过这步)
搜索cmd.exe,并为随机数字的文件名并运行
输入下面3条命令:
net stop kkdc
sc stop kkdc (这条只是监测是否已经删除服务)
sc delete kkdc
剩下就删除文件即可:
DEL /F /Q /A %SystemRoot%cmd.exe.exe
DEL /F /Q /A %SystemRoot%lsass.exe
DEL /F /Q /A %SystemRoot%regedit.exe.exe
DEL /F /Q /A %SystemRoot%setuprs1.PIF
“runauto..”这个文件夹不能直接删除,要用下面命令(X代表盘符,比如C、D啊)
rd /s /q X:runauto…
或者
rd /s /q runaut~1
清理注册表:
开始-运行-regedit等程序或者即使你直接双击打开regedit程序,也会出现提示对话框:
Windows找不到文件’regedit’。请确定文件名是否正确后,再试一次。要搜索文件,
请单击[开始]按钮,然后单击”搜索”。
如果你把文件名改名字后就可以打开了。杀毒之后,把regedit.exe改名字,然后打开,
打开下面的项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Image File Execution Options]
如存在如下项删除:
cmd.exe
cmd.com
msconfig.exe
msconfig.com
360safe.exe
EGHOST.exe
iparmo.exe
kabaload.exe
MagicSet.exe
mmsk.exe
PFW.exe
PFWLiveUpdate.exe
Ras.exe
Rav.exe
RavMon.exe
regedit.exe
regedit.com
regedt32.exe
runiep.exe
TrojDie.kxp
WoptiClean.exe
重启后再检查清理一次,然后就可以正常使用了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。