真的是无语了,使用电脑这么多年了,碰到的各种病毒也不少了。一般来说,只要瑞星本身没有被破坏,都查杀的很顺利。再顽固点的,重装系统,重装瑞星,升级一下,全面查杀几次也就OK了。。。
最近不小心感染了这么个病毒,,,简直是太无 耻太变 态了。。在网上找了半天相关的介绍。。应该就是中所谓的 “Lsass。exe和smss。exe木马病毒(变身广告A) ”。个人感觉,我中的这个,可能是又增强了一些。
1、生成两个进程Lsass.exe和Smss.exe,与系统进程名字相同,只不过用户名不是system,而是你的用户名。
2、生成以下病毒文件
C:\Windows\system32\Com\lsass.exe
C:\Windows\system32\Com\smss.exe
C:\Windows\system32\drivers\alg.exe
C:\Windows\system32\Com\netcfg.dll
X:\AUTORUN.INF
X:\pagefile.pif
“X”为你的所有盘符
3、可以查看一般隐藏文件,但是无法查看受保护的系统隐藏文件(在“工具—文件夹选项—查看”里看不到“隐藏受保护的操作系统文件”)
4、安全模式进不去
5、一些杀软或流氓清除工具可以查出有恶意广告插件,但是无法清除
6、由于病毒在每个盘符下都生成病毒文件,所以简单的重装系统基本没用
7、此病毒会感染其他盘下的部分exe文件(感染后的exe文件图标和感染前的图标略有不同,可以看出来),所以即使杀过之后也不要大意。
中毒后,最新的病毒库,用瑞星KV2008查杀,对于C:\Windows\system32\Com\smss.exe等病毒文件,瑞星解决的很不错。但是对于那个最可恶的C:\Windows\system32\Com\lsass.exe竟然完全不理会。而且对被感染的EXE文件也无动于衷。
lsass.exe是最讨厌的,尤其是其修改EXE文件和在每个盘符下都生成病毒文件。
想了各种办法,基本上将病毒查杀掉了。但是被感染的一大堆EXE文件全成了地雷。。这个病毒最讨厌的就是不是每个EXE文件都被感染。网上说感染和文件大小有关,不会感染超过15MB的文件。实际情况来看,个人完全体会到了15MB以上文件被感染的新鲜感。
PowerRmv等软件所谓的 抑制文件再次生成 ,根本就是浮云。。。
只要你电脑里有被感染的EXE文件,而且你还不小心运行了。。。注意看屏幕右下角,瑞星实施监控马上光荣的退出,然后一大堆程序在后台拼命的帮你修改注册表,将一些新诞生的EXE文件感染,C:\Windows\system32\Com\lsass.exe就像故事中的远古恶魔被重新召唤复活。每个盘符下再加上2个文件。对了,ARP这个家伙也没有放过,局域网内算了完了。
arfix、威金熊猫通用终结器Myvikiller1.23等软件听说能修复被感染的EXE文件,我用了下,完全不行。arfix最搞笑,什么都没发现,就是把你提供的样本给删了。
顺便再说一下,你播放个电影也不安全,因为播放器也被感染了。个人经验。
当然,把整个硬盘都格了,估计能解决这个问题。问题是,现在的硬盘都大了。。。积蓄的资料都多了。真的格了,不太现实。。。
总之,被这个病毒虐待的很郁闷了,希望瑞星或者其他网友。。能指点一下,主要是关于EXE文件的修复。。。
PS:之前发现,这个病毒现在在网络上比较泛滥,有些挺正规的论坛,下载附件竟然下载下来的也是它。一个SETUP。EXE文件。各位没有被感染的务必小心。。。
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
