瑞星卡卡安全论坛

木马进程：

C:\WINDOWS\LSASS.exe

查杀方法见1楼

【回复“海杰之心”的帖子】
C:\WINDOWS\LSASS.exe
这是个针对瑞星的木马。估计你的瑞星防火墙得重装了（rfwcfg.exe被改写了）。
————————————————

木马Trojan.Agent.awa的手工查杀流程：

1、断开网络连接。关闭瑞星杀软及瑞星防火墙（已被木马进程插入）。
2、结束木马进程C:\windows\LSASS.EXE。
3、删除木马文件（见附图）
4、重启。清理注册表：
先将RegFix或SREng的后缀改为.com 或.bat，再运行之。（恢复HKEY_CLASSES_ROOT\.exe的键值）。
展开：HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开：HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开：HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome"
展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Top
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0
————————————————————
【要删除的木马文件见下图】

附件: 1558472006226222137.jpg

原rfwcfg.exe的MD5值——

附件: 1558472006226222318.jpg

中此木马后rfwcfg.exe的MD5值——

附件: 1558472006226222409.jpg

谢谢斑竹给我的回复。。。
但有问题啊，我装的是诺顿，没装瑞星啊，还有那个LSASS。EXE根本不能结束进程，说是系统关键进程，我用KILLBOX强行删除了以后，就出现60秒自动重新启动了，重新启动以后，重新扫描一下，还是老样子。

【回复“海杰之心”的帖子】
结束进程时，建议用IceSword的进程列表。正常系统进程lsass.exe所在路径与木马进程LSASS.EXE所在路径不同（木马程序的路径是C:\windows）。
如果你误将系统进程lsass.exe结束，系统就会重启。

我是电脑盲但我装的是瑞星而且也玩梦幻 但看不懂要怎么删怎么办

"先将RegFix或SREng的后缀改为.com 或.bat，再运行之。（恢复HKEY_CLASSES_ROOT\.exe的键值）。"
什么意思啊?还有,我照你的方法做,
"展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0"
里面跟本就没有 "WindowFiles"和"wextract_cleanup0"
怎么办啊~~~

楼主IceSword．还是一关就重启也．怎么办呀？你能说的再具体点吗？有些看不懂啊～！

该用户帖子内容已被屏蔽

【回复“lanyue”的帖子】
正常路径是C:\WINDOWS\system32\lsass.exe

一定要断开网络才能杀掉吗?

【回复“轩辕小聪”的帖子】为什么我C盘下的:\WINDOWS下没有什么文件夹啊.是不是被我删了?呜~~~~~~~~~这可怎么好啊?

不可能呀  那样系统启不了了
该病毒修改文件关联  要改为com 或bat  才能运行吧

晕，ＥＸＥ文件关联被改了

好复杂啊,还得研究研究

像我们这种对注册表什么的一窍不通的人怎么办?

我也中了这个,LSASS。EXE根本不能结束进程，说是系统关键进程
还有壹个winlogon.exe,我知道这是龙子传奇木马.
哭啊!!!

注删表怎么改啊?

【回复“病毒以删除”的帖子】
如果自己不懂，找一下身边比较懂的朋友帮忙操作。

照版主说明的方法操作后重启电脑，依然和以前一样会出现LSASS的进程，D盘也会自动生产生成运行command.com的autorun.inf文件……

请问它为什么这么顽固不化！！！现在又该杂办？？

还有就是开机自启动里面的“Top”怎么删除都没用，下次开机又会自动出现？！请问怎么办？

偶网盘里有个专杀，好像是剑盟的，不知道行不行，大家可以试试
yuhua-sei.ys168.com

我也中过这个木马,还好被我信赖的瑞星杀掉了.

可18.32.22的瑞星版本现在都杀不了,郁闷死了!安全模式下也不能杀,不知道瑞星什么时候能杀

我也中了
瑞星也启不了

有没有专杀的啊

我在自己摸索中发现了大大在1楼贴出的帖子有一点小问题.这也是您给出的原帖里,那么多回贴者表示照猫画虎不成功的原因,如果有可能,建议修改原帖子.
最好首先把regedit.exe文件(位置在C:\WINNT下,WIN98好象不在这里,自己搜索下)和sreng.exe文件复制到桌面,并改后缀名为.bat
第一步和第二步没有问题.最好在使用ICESWORAD冰剑的时候设置为"禁止创建新进程."
第三步,附图明显是winxp系统.小弟系统是win2000,所以有区别(也就是回贴里很多人表示找不到那些需要删除的文件的原因)
我个人修复的时候,在C:\WINNT下才找到EXERT.EXE \ IO.SYS.BAK \ LSASS.EXE三个文件.
在C:\WINNT\SYSTEM32下才找到DXDIAG.COM \ MSCONFIG.COM \ REGEDIT.COM三个文件.
而INTEXPLORE和INTEXPLORE.COM两个文件需要在工具--文件夹选项--查看里面,将"隐藏受保护的操作系统文件(推荐)"前面的勾去掉,才能在相应文件夹下找到.(好象有好几个文件都是这样,如果找不到的话就要进行这一步操作)
在C:\WINNT\DEBUG下才找到DebugProgram.exe文件.

而如果之前已经删除了部分文件的朋友,会发现在C盘和D盘下多出两个以!开头的,好象叫!Sub什么的文件夹,这两个也需要删除.如果打开看会发现C盘那个里面正是INTEXPLORE和INTEXPLORE.COM,D盘则是autorun.inf和command.com(原贴里要求删除的几个文件)

第四步里,
先将RegFix或SREng的后缀改为.com 或.bat，再运行之。（恢复HKEY_CLASSES_ROOT\.exe的键值）其实就是运行后点系统修复--文件关联,点全选,再点修复.

所有@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"等等的修改都有错误,应该把前四个需要修改的INTEXPLORE.com改为IEXPLORE.EXE,否则会出现桌面上的IE打不开,报告无法定位什么的.

以上完成以后,最好再重启动电脑.

ding le

刚杀的这种病毒...

现介绍我的朋友教我的方法..

先在开始菜单中打开运行/运行\cmd


然后在regedit里查找:autorun和autorun.exe..然后删除..要多找几次哦/..直到提示删除完全.在查找command和command.exe..如上/.