浪漫烛光 www.langmanzg.com
如果你的启动菜单(开始-运行-输入“msconfig”)里有个lsass.exe启动项,那就证明
i�q{;�� 6.f�Y你的lsass.exe是木马病毒,中毒后,在进程里可以见到有两个相同的进程,分别是lsass.exe和LSASS.EXE,同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行,LSASS.EXE管理exe类执行文件,exert.exe管理程序退出,还会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联。以下说一下本人对该病毒的杀法,以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件全面杀毒,清除余下的病毒!
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
上面介绍的清除病毒的方法我用不来,所以我上网找lsass病毒的
]z�'[_v��Jp�PqX&专杀工具,结果也没能把病毒查出来。我想大概病毒文件已经被我的QQKav清除干净的缘故吧(可是病毒依然没有彻底清除)。不过我还是提供一下下载地址吧,中此病毒的朋友可以试试。
浪漫烛光 www.langmanzg.com
有两种专杀工具,下载页面为——http://inuyasha.tv.topzj.com/thread-12258-1-1.html
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
QQKav是一种QQ病毒木马专杀工具,十分好用,不仅杀毒如闪电般迅速,而且能够查杀连瑞星都无法查杀的病毒。建议大家都备一个~
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
下面介绍一种全面清扫lsass木马的办法——
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
首先,你会在各个分区发现autorun.inf文件和runauto..文件夹,当然都是隐藏,好在可以在文件夹选项中把隐藏文件显示出来。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
先把autorun.inf(或者有的是带着pf扩展名的,都删)删了,最好用winrar打开根目录,或右键选打开,选小字体的那个打开,不要用双击,
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
接下来结束lsass.exe这个进程,有两个,用超级兔子或安全360看一下,要结束的是目标在c:\windows目录下那一个,不是system32下那一个。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
结束了又出来?别急,打开控制面板,
1���d��*3:%b�u找到计算机管理,服务,找到Kerberos Key Distribution Centers 服务并停止它。查看进程确保进程列表中只有一个lsass.exe路径为c:\windows\system32。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
在C(系统盘):\windows中找到"regedit.exe",改名为"regedit.com",双击运行(不要直接到运行下输入regedit去运行,因为病毒已经用文件把系统的regedit替代了)
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
在注册表中清除如下健值:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]中的kkdc项
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
浪漫烛光 www.langmanzg.com
\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications \List]中的"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled: lsass.exe"
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]中是否存在kkdc项,如存在删除kkdc项。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]中是否有
浪漫烛光 www.langmanzg.com
"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe",如有则删除"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled: lsass.exe"。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
再查看一下[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002下与上述类似的地方,有没有跟上述一样的项目,有的话删除
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
关闭注册表编辑器,刷新,将"regedit.com"改回"regedit.exe"(通常发现又新出现了一个regedit.exe,那个是系统自动生成的,这样就把这个regedit.com删除就行了),完成。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
在C:\windows目录中找到lsass.exe、regedit.exe.exe、cmd.exe.exe、setuprs1.pif以及有病毒生成的文件这些文件有个特征是“没有图标”的后缀名为.exe的文件。(这些文件是由于在中毒后运行cmd.exe、regedit.exe、 regedit32.exe、maconfig.exe时生成的文件,文件名一般为r.exe、r0.exe等。)
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
好了,接着在开始菜单运行cmd,要删除各个分区,别忘了还有优盘里的runauto..这个删不了的垃圾:
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
在命令行界面进入各个分区根目录运行
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
rmdir RUNAUT~1 /s /p
浪漫烛光 www.langmanzg.com
或者
浪漫烛光 www.langmanzg.com
rd /s/q runauto...\
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
如果别的磁盘也有runauto..隐藏文件夹和autorun.inf两个存在则在cmd 下进入相应盘符执行同样操作即可。
浪漫烛光 www.langmanzg.com
注:autorun.inf文件一般只存在于C盘和移动磁盘里,而runauto..隐藏文件夹则是每个磁盘下都会有。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
确定删除完毕后重新启动机器即可。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
这段关于全面清扫lsass木马的文字转自http://hi.baidu.com/springflower/blog/item/7962930a25274a1e95ca6ba4.html。虽然我没用上(大概是QQKav自动把注册表修复了),但对其他人或许有用。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
说一个小插曲:我用上面的方法把regedit.exe改成了regedit.com后,又用QQKav闪电杀毒了一下,结果QQKav误把regedit.com当成了病毒,把它删了!!!注册表是系统的核心,删了它等于是系统瘫痪!当时我整个人都蒙了,幸好系统蓝屏关机,再启动时,注册表又回来啦~(热泪盈眶ing...)有种劫后余生的感觉。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
安全模式进不去始终让我心里很不
28j1^w+L-�N��G�D爽。于是我在网上下载了修复安全模式无法进入问题的文件,要下载也请到http://inuyasha.tv.topzj.com/thread-12258-1-1.html这个页面。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
下面是扫盲篇,主要介绍什么是安全模式以及如何进入安全模式——
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
什么叫安全模式:安全模式是Windows的一个用于修复操作系统错误的窗口模式。进入安全模式,系统不会加载很多硬件的驱动程序,比如显示卡、网卡等,这样方便用户排除问题,修复错误。比如显示分辨率设置超出显示器显示范围,导致黑屏,那么进入安全模式可以改变回来。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
怎么进入安全模式:1. 重新启动计算机(关机的话就直接开机)并开始按键盘上的 F8 键。
浪漫烛光 www.langmanzg.com
2. 显示 Windows 高级选项菜单时,按方向键上下移动选择某个选项(一般选中“安全模式”),然后按 Enter 键,这样便进入了传说中的安全模式~
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
PS:那三个工具如果无法正常下载,请留言告诉我,我会及时处理的。
浪漫烛光 www.langmanzg.com
浪漫烛光 www.langmanzg.com
