全面清扫lsass木马
全面清扫lsass木马
个木马我都不屑于用战斗二字,因为在我看来,所有的用autorun传染可移动磁盘的木马都是那么的卑鄙无耻。我从来不和卑鄙无耻的事物战斗。
我在网上找了清理方法。不过各有不足,根据亲身经历,完善一下
首先,你会在各个分区发现autorun.inf文件和runauto..文件夹,当然都是隐藏,好在可以在文件夹选项中把隐藏文件显示出来。
先把autorun.inf(或者有的是带着pf扩展名的,都删)删了,最好用winrar打开根目录,或右键选打开,选小字体的那个打开,不要用双击,
接下来结束lsass.exe这个进程,有两个,用超级兔子或安全360看一下,要结束的是目标在c:\windows目录下那一个,不是system32下那一个。
结束了又出来?别急,打开控制面板,找到计算机管理,服务,找到Kerberos Key Distribution Centers 服务并停止它。查看进程确保进程列表中只有一个lsass.exe路径为c:\windows\system32。
在C(系统盘):\windows中找到"regedit.exe",改名为"regedit.com",双击运行(不要直接到运行下输入regedit去运行,因为病毒已经用文件把系统的regedit替代了)
在注册表中清除如下健值:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]中的kkdc项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications \List]中的"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled: lsass.exe"
查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]中是否存在kkdc项,如存在删除kkdc项。
查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]中是 否有
"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe", 如有则删除"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled: lsass.exe"。
再查看一下[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002下与上述类似的地方,有没有跟上述一样的项目,有的话删除
关闭注册表编辑器,刷新,将"regedit.com"改回"regedit.exe"(通常发现又新出现了一个regedit.exe,那个是系统自动生成的,这样就把这个regedit.com删除就行了),完成。
在C:\windows目录中找到lsass.exe、regedit.exe.exe、cmd.exe.exe、setuprs1.pif以及有病毒生成的文件这些文件有个特征是“没有图标”的后缀名为.exe的文件。(这些文件是由于在中毒后运行cmd.exe、regedit.exe、 regedit32.exe、maconfig.exe时生成的文件,文件名一般为r.exe、r0.exe等。)
好了,接着在开始菜单运行cmd,要删除各个分区,别忘了还有优盘里的runauto..这个删不了的垃圾:
在命令行界面进入各个分区根目录运行
rmdir RUNAUT~1 /s /p
或者
rd /s/q runauto...\
如果别的磁盘也有runauto..隐藏文件夹和autorun.inf两个存在则在cmd 下进入相应盘符执行同样操作即可。
注:autorun.inf文件一般只存在于C盘和移动磁盘里,而runauto..隐藏文件夹则是每个磁盘下都会有。
确定删除完毕后重新启动机器即可。
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
