5月8日左右中的,症状是系统变慢,并试图访问网络.
这个病毒通过U盘自动播放感染,执行根目录下的setup.pif,并在system32里生成Lcass.exe.
如果结束Lcass.exe进程,5秒中内又会自动冒出来.好像直到今天rising才能查杀(我可是发现当天就报告给rising了,??效率啊......)
那天费了我半个小时才手工清除掉,贴出来分享一下:
编辑如下批处理文件,比如存为c:\1.bat(不会编的在网上搜一下,这里不说了)
kill lcass.exe -f
regsvr32.exe /u /s ntsvc.ocx
pushd c:\windows\system32
attrib lcass.exe -h -s -r -a
del lcass.exe
attrib ntsvc.ocx -h -s -r -a
del ntsvc.ocx
pause
编好后存好,并加到注册表自动运行项里(HKLM\Software\Microsoft\Windows\CurrentVersion\Run 新建个字符串值,输入 c:\1.bat 如不会加的在网上搜一下,这里也不说了)
重启就行了.注意看看CMD窗口的输出结果,是不是删除成功了,一般应该没什么问题的
注明一下批处理的几个地方:
kill 是个结束系统进程的小工具,微软出的,网上到处都能下;用其他类似功能的也可.必须存到c盘(即与批处理同一个目录下)
ntsvc.ocx就是这个病毒注册的插件(插入ie和/或explorer进程,监视lcass.exe是否在运行)必需把他反注册才能删除
c:\windows\system32 是系统目录,按实际目录更改,好像也能用类似$????$的,记不清了
希望不幸中毒的朋友能顺利清除此病毒!
