LSASS.EXE+SMSS.EXE(ARP下载者102400)病毒解决办法

LSASS.EXE+SMSS.EXE(ARP下载者102400)病毒解决办法

前几天办公室的几台电脑全部中了“LSASS.EXE+SMSS.EXE”病毒，搞得大家焦头烂额的。我上网找了好多解决这个病毒的办法，由于网上找来的解决方法大多都没有把病毒的全部文件列出来，加之那几天工作非常忙，无暇顾及病毒，所以总是杀不掉。期间还由于在机箱前面板USB插口插U盘，烧掉了主板，很是郁闷。……

废话少说，看病毒。下面这是从金山毒霸找来的病毒资料，并加以补充：

病毒分析：

Win32.Troj.Downloader.yl.102400
病毒名称(中文):ARP下载者102400
病毒别名:
威胁级别:★★☆☆☆
病毒类型:木马下载器
病毒长度:102400
影响系统:Win9x WinNT
病毒行为:
这是一个具有ARP 欺骗的下载者病毒，在下载病毒到本地运行的同时还生成大量AUTO病毒文件。该病毒还具有具有映象劫持功能，可以对一些安全工具和调试分析软件进行拦截，并不断改写注册表破坏安全安全模式，阻止用户修复系统。
1.病毒运行后，会释放以下文件：
%system32%\Com\SMSS.EXE
%system32%\Com\LSASS.EXE
%system32%\dnsq.dll
%system32%\drivers\alg.exe
%system32%\com\netcfg.dll
%system32%\com\netcfg.000
在每个盘目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件.
2.该病毒会破坏安全模式和禁用了文件选项的显示隐藏文件的选项等恶意操作,使用户无法启动安全模式,并且使隐藏文件无法被显示.由于该病毒是不断修改注册表,也使一些安全工具(金山清理专家等)无法成功修复安全模式.
病毒自己不在注册表创建 RUN,却把RUN 项删的干干净净,使得一些的常用软件,安全工具等,不能开机自启动.
3.该病毒具有映象劫持功能,可以对一些安全工具和调试分析软件进行拦截.会对以下一些安全工具和调试分析软件拦截:
OLLYDBG
IDA
MetaPad
SOFTICE
一些安全软件如 ICESWORD ,360.... 也会被关闭.
4.病毒会将自己拷贝到 %system32%\Com下,更名为 LSASS.EXE,并释放SMSS.EXE 和 ALG.EXE ,最后运行LSASS.EXE, SMSS.EXE 和 ALG.EXE. 由于病毒的进程名和系统的 LSASS,SMSS 进程名相同,使任务管理器无法结束它.
5.该病毒会远程注入 dnsq.dll 到其它进程中,在其它进程中启动一个线程来不断监视病毒的进程是否被关闭.若检测到被关闭,就自动再启动病毒进程. 如果被一些杀毒软件和安全工具阻止创建了,被注入的其它进程就会调用 SYSTEM32 目录下的 SHUTDOWN.EXE 来关闭计算机( ^_^ 病毒作者真是淘气啊! ).
6.病毒会模拟资源管理器的右键菜单,使用户不易察觉病毒被自动运行,当用户利用资源管理器打开分区时,无论是直接运行或右键打开都会运行病毒.
7.该病毒会启动一个 IE 进程来连接站点http://w.c**o.com/r.htm和http://*s.k**02.com/**.asp,并下载恶意脚本执行.
8.该病毒会生成多个组件,并注册为 IE 插件. 它的行为特征属恶意软件,会利用 REGSVR32.EXE 为netcfg.dll 注册多个的CLASSSID, 杀毒软件通常不能清除干净,会有大量残留. 可以使用金山清理专家等软件来清除.
9. %system32%\drivers\alg.exe 是个ARP 病毒,利用 WinPcap 来收发网络包,对整个局域网内的所有IP 进行 ARP 攻击.并在截获的是数据包内插入恶意代码, 该代码会从http://1**.*1.2*5.1*0/setup.exe下载病毒的最新版本到本地运行.使被攻击的局域网内其它用户中毒.


解决病毒思路：
杀掉并抑制再生下列文件：
C:\Windows\system32\Com\smss.exe
C:\Windows\system32\Com\lsass.exe
C:\Windows\system32\drivers\alg.exe
C:\Windows\system32\Com\netcfg.dll
C:\Windows\system32\Com\netcfg.000
C:\Windows\system32\dnsq.dll
X:\AUTORUN.INF
X:\pagefile.pif
(X=C、D、E、F、G、……)
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif
（查看这些文件的方法：用WINRAR查看，直接从我的电脑是看不到的。）
但是如果用PowerRmv.com等工具杀灭的话，当杀掉C:\Windows\system32\Com\lsass.exe时电脑就会自动重启，前功尽弃。

解决病毒方法：
所以，做了以下一个文件，批处理一下，然后重启电脑。
重启后，杀毒软件就可以用了，升级最新的病毒库，全盘扫描，将机子上的病毒杀光光，安装个金山清理专家之类的清理一下。
由于这个病毒大多在校园网里传播，最好再安装个ARP防火墙。

希望对饱受这个破病毒之害的朋友有帮助