puber - 2006-4-10 16:46:00
公司里有一台电脑中招了,下面是我艰难的3小时手工查杀过程,其中走了不少弯路.
打开任务管理器,发现多了一个LSASS.exe进程,路径是c:\winnt\lsass.exe,马上将其结束
并将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的TOP项干掉,重启。
几分钟后,重新进入系统,发现LSASS.exe又回来了,注册表又恢复了,这下才知道,这玩意不是那么简单,轻敌了,汗~,原来系统装的杀毒软件江民已经被木马干掉了,瑞星现在也装不上,只好来个手工清除吧,郁闷!其中走的弯路我就不写出来的,丢人~~汗~,我只把最后的杀马过程写出来了
手工删除:
一、 结束病毒进程“LSASS.exe
二、 删除病毒文件
打开“我的电脑”,设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件:
C:\Program Files\Common Files\INTEXPLORE.pif、
C:\Program Files\Internet Explorer\INTEXPLORE.com、
C:\winnt\EXERT.exe、
C:\winnt\LSASS.exe、
C:\winnt\Debug\DebugProgram.exe、
C:\winnt\system32\dxdiag.com、
C:\winnt\system32\MSCONFIG.COM、
C:\winnt\system32\regedit.com
删除掉d:该分区根目录下的“Autorun.inf”和“command.com”文件。
三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多,开始的时候就是在这被难倒了。
删除注册表中的以下项目:
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。
将HKEY_CLASSES_ROOT\.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT \CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”
将HKEY_CLASSES_ROOT \ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT \htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
至此病毒清除成功,注册表修复完毕。
后来者警惕此马!
puber - 2006-4-10 16:56:00
我晕了,都杀完马了,想把经验贴到这里来,才发现置顶贴中已经有此马的手工查杀方法了,http://forum.ikaka.com/topic.asp?board=28&artid=7828861
郁闷.早点来这里看看就不用浪费我3个小时了
lanyue - 2006-4-10 17:00:00
该用户帖子内容已被屏蔽
lanyue - 2006-4-10 17:08:00
该用户帖子内容已被屏蔽
不言放弃 - 2006-4-10 17:15:00
【回复“puber”的帖子】
这个应该就是龙字传奇木马
puber - 2006-4-10 17:19:00
【回复“lanyue”的帖子】
看进程的路径,正常的lsass.exe进程在c:\winnt\system32\下
病毒进程lsass.exe在c:\winnt\下
毒0缠身 - 2006-5-31 20:28:00
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项
郁闷我中这个毒一个月了~~这个上面这个项我注册表里好象没有?可以跳过?
毒0缠身 - 2006-5-31 20:23:00
而且~~我的那几个病毒文件都在D盘的WINDOWS里啊?怎么你说的在C盘里的?我按照那个做了一变~~注册表里要改的东西我也把C盘改成了D盘。。后来没杀成。。。怎么回事~~~急死我了
© 2000 - 2026 Rising Corp. Ltd.