中招了,lsass.exe,smss.exe病毒

游魂

今天感觉电脑慢了,CPU占用率老是很高,看了一下任务管理器进程发现有两LSASS.EXE,知道是中招了...

查了这两个进程的路径,分别是C:/windows/system32/lsass.exe和C:/windows/lsass.exe,

经过对比知道,C:/windows/lsass.exe路径下的LSASS.EXE是病毒...

上网查了一下删除方法..

解决方法:

1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064".

2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.

删除如下几个文件：

C:\Program Files\Common Files\INTEXPLORE.pif

C:\Program Files\Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目：

HKEY_CLASSES_ROOT\WindowFiles

HKEY_CURRENT_USER\Software\VB and VBA Program Settings

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

下面的 Check_Associations项

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

下面的ToP项

将HKEY_CLASSES_ROOT\.exe的默认值修改为

"exefile"(原来是windowsfile)

将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command

的默认值修改为

"C:\Program Files\Internet Explorer\iexplore.exe" %1"

(原来是intexplore.com)

将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}

\shell\OpenHomePage\Command 的默认值修改为

"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)

将HKEY_CLASSES_ROOT \ftp\shell\open\command

和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"

(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

将HKEY_CLASSES_ROOT \htmlfile\shell\open\command

HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为

"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”

将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)

发现自己中毒并不深,D盘还能打开,MSCONFIG也能打开,进程也直接就可以结束了,修改了注册表,启重,LSASS.EXE只剩一个了..

[ 本帖最后由 游魂 于 2006-7-6 16:27 编辑 ]

风言枫语

哈，楼主不是裸奔强淫 吗

powerwind

裸奔的人偶尔感冒.

游魂

不是强,是因为我的机烂,用不起杀毒,所以只能祼奔了...

笨鸟先飞

呵呵。看你 还 裸不裸。。。。

游魂

昨天又查到可疑进程,smss.exe,是一个伪系统进程,
还是病毒....

风言枫语

smss.exe？
好熟悉，好像前天隔壁宿舍有人中了这个，症状是他打开BT联盟就弹出下载...？

开水江

貌似很复杂,平时多加件衣服就省点事了

米虫

裸机很久的说