那完了,碰到奇毒了,昨天按照网上的方法才解决掉:
盘双击打不开完美解决方法。。lsass.exe病毒木马病毒症状及手工清除方法修正版
写在前面:
最近N多网友反映自己的D盘双击打不开,出现选择程序打开方式对话框。D盘目录下有command.com和autorun.inf两个文件,删掉又会出来。
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).
同时修改N多注册表键值,创建N多病毒文件。。所以要想清楚干净十分困难。。
本人本想偷偷懒到网上找篇真正能解决问题的文章帖上来,但是,相关的很多,真正能完全有效又能让对电脑了解不是很多的网友看懂的却没有看到,所以就整理了这篇文章,希望对大家有用。
----------------宇宙超级霹雳无敌分割线-----------------------
正文开始:
以windows xp为例
一、准备工作:
打开“我的电脑”——工具——文件夹选项——查看
a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;
b、勾中“显示所有文件和文件夹”
二、结束进程
用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;
点到任务管理器进程面版,点击菜单,"查看"-"选择列",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"——运行,输入"CMD",点击"确定"打开命令行控制台。
输入"ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字,是当前用户名进程的PID,别看错了)",比如我的计算机上就输入"ntsd –c q -p 1064".这样进程就结束了。(如果结束了又会出现,那么你还是用下面的方法吧)
(另外我强烈推荐大家用Process Explorer,很强的进程管理工具,可以直接结束想要结束的进程,以后用的时候很方便,使用和下载地址:http://www.gypin.com/bbs/dispbbs.asp?boardID=16&ID=1303&page=1)
三、删除病毒文件
删除如下几个文件: (与WIN2000的目录有所不同)
C:\Program Files\Common Files\INTEXPLORE.pif (有的没有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.
四、删除注册表中的其他垃圾信息
将C:\WINDOWS目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项
五、修复注册表中被篡改的键值(红色部分为需要信息)
1、将HKEY_CLASSES_ROOT\.exe的默认值修改为 "exefile"(原来是windowsfile)
2、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 "C:\Program Files\Internet Explorer\iexplore.exe" %1 (原来是intexplore.com)
3、将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默认值修改为
""(原来是INTEXPLORE.com)
4、将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
5、将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome
6、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)
六、收尾工作
关掉注册表编辑器
将C:\WINDOWS目录下的regedit.com改回regedit.exe
