lsass.exe病毒木马手工清除方法

病毒症状:

进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.

该病毒新建如下文件:

c:\program files\common files\INTEXPLORE.pif
c:\program files\internet explorer\INTEXPLORE.com
%SYSTEM\debug\debugprogram.exe
%SYSTEM\system32\Anskya0.exe
%SYSTEM\system32\dxdiag.com
%SYSTEM\system32\MSCONFIG.com
%SYSTEM\system32\regedit.com
%SYSTEM\system32\LSASS.exe
%SYSTEM\system32\EXERT.exe

处理办法:

1.先要结束LSASS病毒进程

调出务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;在任务管理器上点击菜单"查看->"选择列",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd -c q -p (PID)",比如我的计算机上就输入"ntsd -c q -p 1064".然后确定,这个病毒进程就关掉了.

2.删除病毒生成文件的批处理代码

REM =====================DD.Bat==============================
del C:\Program Files\Common Files\INTEXPLORE.pif /a/f/q
del C:\Program Files\Internet Explorer\INTEXPLORE.com /a/f/q
del C:\WINDOWS\EXERT.exe /a/f/q
del C:\WINDOWS\IO.SYS.BAK /a/f/q
del C:\WINDOWS\LSASS.exe /a/f/q
del C:\WINDOWS\Debug\DebugProgram.exe /a/f/q
del C:\WINDOWS\system32\dxdiag.com /a/f/q
del C:\WINDOWS\system32\MSCONFIG.COM /a/f/q
del C:\WINDOWS\system32\regedit.com /a/f/q
del D:\Autorun.inf /a/f/q
del D:\command.com /a/f/q
REM ====================DD.Bat================================

把上面这代码复制到记事本里面然后保存为bat格式,如DD.bat.保存好后运行这个文件.

时间: 2024-12-04 02:31:35

lsass.exe病毒木马手工清除方法的相关文章

visin.exe病毒的手动清除方法,专杀都不要了_病毒查杀

病毒描述:       名称:visin 路径:C:\windows\system32\visin.exe 出品公司:Microsoft Corporation 行为描述:新增系统启动项 位置:HKEY lOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run 注册表:HKEY lOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polic

winfoams.dll,auto.exe,450381EC.EXE病毒的手动清除方法_病毒查杀

解决参考: 进行如下操作前,请不要进行任何双击打开磁盘的操作.所有下载的工具都直接放桌面上. 思路 1.安全模式下操作 强制删除文件 可借助xdelbox, powerRMV等. 复制代码 代码如下: C:\Autorun.inf  C:\auto.exe  d:\Autorun.inf  d:\auto.exe  e:\Autorun.inf  e:\auto.exe  f:\Autorun.inf  f:\auto.exe  g:\Autorun.inf  g:\auto.exe  C:\W

explorer.exe病毒怎样快速清除的方法

explorer.exe病毒怎样快速清除的方法: Explorer.EXE是个木马病毒,这个木马进入计算机后,产生主要的三个文件是:interapi32.dll,interapi64.dll,exp1orer.exe特别狡猾的是容易和 Explorer.exe混淆.它是数字 1不是字母l.这个病毒入驻进程以后,会大量的消耗系统资源,并会跟着资源管理器一同启动.杀除方法如下: 1.关闭Xp系统的还原功能.具体的可以进入组策略查找或是右击我的电脑属性,关闭系统还原功能. 2.然后在运行键入reged

常见木马的手工清除方法_网络冲浪

常见木马的手工清除方法 1. 冰河v1.1 v2.2 这是国产最好的木马 作者:黄鑫 清除木马v1.1 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 查找以下的两个路径,并删除 " C:windowssystem kernel32.exe" " C:windowssystem sysexplr.exe" 关闭Regedit 重新启动到MSDOS方式 删除

IRC后门病毒及手动清除方法_安全相关

   2004年年初,IRC后门病毒开始在全球网络大规模出现.一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失.  同时,由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现.还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难.本文先从技术角度介绍IRC后门病毒,然后介绍其手工清除方法.  一.技术报告  IRC病毒集黑客.蠕虫.后门功能于一体,通过局域网共享目录和系

七种常见木马的清除方法

网络公牛(Netbull) 网络公牛是国产木马,默认连接端口23444.服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WINDOWSSYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽.危害很大.同时,服务端运行后会自动捆绑以下文件: win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe. 服务端运行后还会捆绑在开机时自动运行的第三方软件(如:rea

新QQ尾巴病毒分析报告及其手工清除方法

新QQ尾巴,发诱惑消息迷惑网民,点击消息中的链接,下载运行后就会中招,中毒后会不停向好友发出类似消息.以下是详细分析报告和手工清除办法: 病毒名:Worm.QQTailEKS.ds.36864 传播方式:通过QQ发送消息,并通过自动播放和恶意网页传播. 病毒行为: 1.病毒运行后常驻内存,向系统目录中复制多个副本: %Windows%\cacom.exe(%windows%一般是c:\windows目录) %System%\Akica.exe(%system%一般是指c:\windows\sys

手工删除系统exe病毒文件的后缀方法

这类病毒一般是以进程的方式运行,这类病毒一般是比较好被发现的.下边先说下这类病毒,是在哪里启动的. 1.注册表 如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESoftwar

sxs.exe病毒删除完美解决方法_病毒查杀

方法一: 可以用WINRAR软件打开D: E: F:等盘 看看 , 是不是每个盘都有SES.EXE文件 如果是的话 那么中的是修改过的ROSE病毒解决方法是这样的:在安全模式下进行手动杀毒,另外,我在注册表里,手动搜索与病毒有关的文件:sxs.exe.svohost.autorun.inf,找到后全删,把每个盘符的都删掉,然后顺安全模式下运行杀毒软件,就OK了 . 手工处理如下:任务管理器可以结束SXS的进程删除,记住,用鼠标右键进入硬盘 同时按下Ctrl+Shift+Esc三个键 打开wind