众果搜的博客

脚踏大地,仰望星空,致力于财经投资网站导航与在线网络工具的开发与普及

Search(博客搜索)

热文排行

最近发表

最新评论及回复

« 已达到系统管理员配置的最大报表处理作业数限制!Word和Excel使用技巧 »

EXERT.exe和LSASS.exe病毒木马专杀工具

98 "EXERT.exe和LSASS.exe病毒木马专杀工具" "EXERT.exe和LSASS.exe病毒木马专杀" "EXERT.exe和LSASS.exe病毒木马专杀

今天电脑中一个网页木马,费力一天时间,终于差不多了。主要方法是下面这个方法。我的还有补充,在Windows下有一个RPCS.exe的也需要在任务管理器把这个进程停掉,然后删除。

对于无法删除的文件,不停的复制的文件,你可以用文本文件建立一个同名同扩展名的文件,然后替换掉病毒文件。
手工清除:传奇终结者变种JBA(Trojan.PSW.Lmir.jba)

病毒档案
病毒名称:传奇终结者变种JBA(Trojan.PSW.Lmir.jba)
病毒类型:通过网络传播的盗号木马
病毒危害级别:★★★☆
病毒发作现象及危害:
该病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程,使其不能正常运行。它会频繁检查“传奇”客户端的窗口,如果窗口存在,就会取得当前鼠标的位置,并记录键盘信息,最后把记录下来的信息发送到指定邮箱,从而窃取用户的游戏账号和密码等。

这个病毒比较狠毒,手工清除较为复杂。请用户务必按照步骤严格操作,否则很可能出现无法清除干净的情况。建议一般用户最好使用杀毒软件来清除这个病毒。

病毒症状
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.

该病毒新建如下文件:

c:\newtro文件夹
c:\program files\common files\INTEXPLORE.pif
c:\program files\internet explorer\INTEXPLORE.com
%SYSTEM\debug\debugprogram.exe
%SYSTEM\system32\Anskya0.exe
%SYSTEM\system32\dxdiag.com
%SYSTEM\system32\MSCONFIG.com
%SYSTEM\system32\regedit.com
%SYSTEM\system32\LSASS.exe
%SYSTEM\system32\EXERT.exe

解决方法

1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-->“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd ?c q -p (PID)",比如我的计算机上就输入"ntsd ?c q -p 1132".

2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了(友情提示:待你把病毒清除后,请把"隐藏受保护的操作系统文件"打上钩,要不然以后很容易误删东西哦).

删除如下几个文件:

C:\NEWTRO文件夹
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com

在D:盘上点击鼠标右键,选择“打开”(直接双击打开会使病毒自动运行!)。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。


将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项


将HKEY_CLASSES_ROOT\.exe的默认值修改为exefile(原来是windowsfile)

将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" %1(原来是intexplore.com)

将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
的默认值修改为"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)

将HKEY_CLASSES_ROOT \ftp\shell\open\command
和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1
(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

将HKEY_CLASSES_ROOT \htmlfile\shell\open\command
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" ?nohome

将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
的默认值修改为IEXPLORE.EXE.(原来是INTEXPLORE.pif)

重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕.Enjoy It .


使用AVG anti-spyware可以查杀:AVG anti-spyware下载破解

  • 相关文章:

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Powered By Z-Blog 1.8 Spirit Build 80722 Code detection by Codefense

Copyright www.zhongguosou.com. Some Rights Reserved.微信号:MiZhiHeiGeTaXiaoMi