[烛光生存狂]-关于病毒破坏DLL文件的处理问题

系统程序“lsass.exe”弹出错误“无法定位程序输入点 LdrsetSessionName 于动态链接库 mfc40u.dll 上。”

这个提示是由于系统被病毒破坏而产生的。是系统程序“lsass.exe”进程启动时弹出来的错误提示信息，真正的系统程序“lsass.exe”进程中是不会有这种提示信息的。之所以会弹出该提示，是因为病毒修改了系统“lsass.exe”程序的输入表(在输入表的尾部多加了一条调用信息“LdrsetSessionName”、“mfc40u.dll”)，同时病毒又使用自身释放出来的恶意DLL组件覆盖了系统本身的DLL组件“mfc40u.dll”(系统内原本就有这个DLL组件的)。

当杀毒软件或安全软件发现了被病毒程序破坏的系统DLL组件“mfc40u.dll”(系统原DLL组件的功能是MFC的部分函数库，被病毒覆盖后的DLL组件的功能是木马下载器)后，就给强行删除掉了，但没有去修复系统程序“lsass.exe”文件的输入表，也没有还原被病毒破坏的系统DLL组件“mfc40u.dll”文件，所以出现了上边的错误提示信息。

　　病毒是利用磁盘过滤驱动去读写真实磁盘中的数据，然后去破坏系统“lsass.exe”和“mfc40u.dll”文件的。所以，不管系统“lsass.exe”和“mfc40u.dll”程序有没有在运行，都会被病毒破坏掉。该病毒使用了类似于“古老的机器狗病毒穿系统还原的设计原理”，并没有去破坏您系统的注册表中的数据信息。所以在网络上见很多人提出使用“重新注册系统‘mfc40u.dll’DLL组件的方法是不对的”，可能会对系统造成更大的破坏。要对症下药，不然很可能会越医越病！！

信息：

“C:\” = “这里的C盘为系统盘”

“lsass.exe” = “C:\WINDOWS\system32\lsass.exe”

“mfc40u.dll” = “C:\WINDOWS\system32\mfc40u.dll”

上述二个文件一般都可以在系统“C:\WINDOWS\system32\dllcache”目录下找到正常完好的系统备份文件。

修复方法步骤(经过实际测试绝对有效)：

一、系统可以启动登陆的修复方法：

1：把系统程序“lsass.exe”文件和系统DLL组件程序“mfc40u.dll”文件同时改名，Windows系统是支持运行着的程序改名的。(如果您能终止掉系统程序“lsass.exe”和DLL组件“mfc40u.dll”的运行也可以)。

2：复制一个正常的系统程序“lsass.exe”文件保存为“C:\WINDOWS\system32\lsass.exe”文件。

3：复制一个正常的系统DLL组件程序“mfc40u.dll”文件保存为“C:\WINDOWS\system32\mfc40u.dll”文件。

4：按照上边的1-3步骤操作完毕后，重新启动一次计算机，一切修复完毕。

5：系统修复完毕后，要使用杀毒软件去查杀病毒。因为该病毒为木马下载器，它可能已经在您的计算机系统中安装了其它恶意程序(20款以上)。

二、系统无法启动登陆的修复方法：

1：使用PE盘或DOS盘启动系统(这种情况下，安全模式是无法登陆的)。

2：复制一个正常的系统程序“lsass.exe”文件保存为“C:\WINDOWS\system32\lsass.exe”文件。

3：复制一个正常的系统DLL组件程序“mfc40u.dll”文件保存为“C:\WINDOWS\system32\mfc40u.dll”文件。

4：按照上边的1-3步骤操作完毕后，重新启动一次计算机，一切修复完毕。

5：系统修复完毕后，要使用杀毒软件去查杀病毒。因为该病毒为木马下载器，它可能已经在您的计算机系统中安装了其它恶意程序(20款以上)。

注意：

上述三个文件一般都可以在系统“C:\WINDOWS\system32\dllcache”目录下找到正常完好的系统备份文件。如果实在没有找到的话，可以去同一个版本的其它计算机系统中拷贝。

最好是断开网络修复系统，因为该病毒为木马下载器，它会连接网络向您的计算机中安装20多款其它恶意程序(如网络游戏盗号木马等)。

因为该病毒并没有去破坏或修改您系统中的注册表，请您不要去重新注册系统DLL组件“mfc40u.dll”，不然可能会带去不必要的麻烦。

新用户注册返回首页
首页上一页下一页尾页页次1/1 转到第页