与LSASS.EXE艰苦卓绝的战斗经验

新客网 XKER.COM 2007-08-21 来源：收藏本文

　　打开资源管理器，如果你发现了“LSASS.EXE”进程，恭喜你，中木马了

　　最近3个工作日，我的机器已经连续中此病毒5次鸟

　　不过不用怕，现在俺已经学会不用WINPE盘启动，就能根除此木马的办法

　　首先，我们说说这个LSASS.EXE的工作方式：

　　中了木马后，你除了能在进程里发现LSASS.EXE外，看看硬盘

　　%SYSTEM\下有好东西哦！EXERT.EXE和LSASS.EXE两个家伙。

　　Program Files\Common Files\下多出一个INTEXPLORE.pif

　　Program Files\Internet Explorer\下多出一个INTEXPLORE.COM

　　%SYSTEM\debug\下多了一个debugprogram.exe

　　%SYSTEM\system32\下多了好多东西，比如dxdiag.COM，MSCONFIG.COM，regedit.COM，0.EXE，1.EXE，2.EXE之类的东西，看生成日期，基本是一批货。

　　再看看你的D盘下，有没有autorum.inf和command.com两个家伙？

　　然后你进入注册表，会发现HKEY_CLASSES_ROOT下有2个东西被修改了.exe和exefile

　　现在我们已经基本清楚了这个木马的工作方式，它修改你的注册表，把所有.exe的文件都指向.com的文件，同时把exefile的默认键值修改，另你防不胜防。这样以来，你的主要exe文件都指向了病毒生成的com文件，达到浏览你所有操作的目的。

　　同时这个病毒还有一个讨厌的地方，在安全模式下一定要小心，不能运行regedit.exe，因为注册表被修改过，所以当你运行它时，LSASS.EXE会在安全模式下被启动。

　　下面说说应该怎么清除这个木马：

　　一、使用专杀工具清除

　　下载：lsass.exe专杀工具下载

　　二、手动查杀

　　首先，你需要找一台跟你系统相同的电脑，或者是刚重新安装的电脑，把该系统注册表中HKEY_CLASSES_ROOT 下的.exe 和exefile的信息导出为.reg文件备用。

　　然后进入你电脑的安全模式，此处一定要注意，从开始菜单里选择“我的电脑”进入硬盘，千万别用资源浏览器，或者运行其他.exe文件。

　　之后把我们之前说到的那些病毒组件删除掉，此处你会发现，一旦你运行过任何的.exe文件之后，LSASS.EXE就不能被删除了

　　之后找一个安全的U盘，把之前做的2个.reg文件导入到系统，这样病毒就无法侵占你的系统了。

　　然后重新启动你的电脑吧

标签：LSASS.EXE LSASS

顶一下

上一篇：lsass.exe木马病毒症状及手工清除
下一篇：举一反三经典winlogon病毒查杀方法

【收藏】【评论】【推荐】【投稿】【打印】【关闭】