痞客jaher

木馬程式 LSASS.exe 清除方法

癥狀:
1.工作管理員內的處理程序有2個lsass.exe程序,一個是system的,一個是目前用戶名稱的(該程序為木馬).
2.點擊2次D磁碟機打不開,只能透過按滑鼠右鍵方式來開啟D磁碟機,用kaspersky掃描可以掃描出來,並且可以殺掉.但是重新開機後又有兩個lsass.exe進程.
3.中木馬之後會在D磁碟機根目錄下產生command.com和autorun.inf兩個檔案，同時會入侵登錄檔破壞系統檔案關聯.

該木馬會建立如下檔案：

c:\program files\common files\INTEXPLORE.pif
c:\program files\internet explorer\INTEXPLORE.com
c:\windows\debug\debugprogram.exe
c:\windows\system32\Anskya0.exe
c:\windows\system32\dxdiag.com
c:\windows\system32\MSCONFIG.com
c:\windows\system32\regedit.com
c:\windows\system32\LSASS.exe
c:\windows\system32\EXERT.exe

解決方法:

1.結束LSASS.exe程序:
按Ctrl+Alt+Del會跑出工作管理員,點選" 處理程序 ",發現要結束以用戶名稱存在的LSASS.exe程序是行不通的.會彈出該程序為系統程序無法結束的提醒框,此時請點選 "檢視"->"選擇欄位" 勾選" PID（程序識別元）"，在點擊"確定"。
找到以用戶名稱存在的LSASS.exe程序，記住其PID號碼.

點選 "開始"-> "執行" 輸入"CMD" [Enter]，會出現"命令提示字元"視窗,請在視窗內輸入 " ntsd –c q -p PID"，假設你找到的PID號碼是1064 就請輸入"ntsd –c q -p 1064" [Enter],如此就可以結束LSASS.exe程序了.

2.刪除木馬檔案:
大多數的木馬檔案都是隱藏文件所以要設置顯示所有的隱藏文件、系統文件和顯示所有檔案.
請點選 我的電腦 ->工具(T) -> 資料夾夾選項(O) -> "檢視"  打勾 "顯示所有檔案和資料夾",取消 "隱藏已知檔案類型的副檔名"和 "隱藏保護的作業系統檔案",這時會彈出一個警告,選擇"是",至此就能顯示所有的隱藏文件了.

刪除如下的檔案：
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com

在D磁碟機按滑鼠右鍵，選擇“開啟”,刪除掉根目錄下的"Autorun.inf"和"command.com"檔案.

3.將Windows目錄下的"regedit.exe"改名為"regedit.com" 並點選執行，刪除以下項目：

HKEY_CLASSES_ROOT\WindowFiles

HKEY_CURRENT_USER\Software\VB and VBA Program Settings

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項

將HKEY_CLASSES_ROOT\.exe的默認值修改為"exefile"(原來是windowsfile)

將 HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認值修改為
"C:\Program Files\Internet Explorer\iexplore.exe" %1" (原來是intexplore.com)

將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 的默認值修改為
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)

將HKEY_CLASSES_ROOT\ftp\shell\open\command 和 HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 
的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1" (原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)

將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”

將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
的默認值修改為"IEXPLORE.EXE".(原來是INTEXPLORE.pif)

4.將Windows目錄下的 regedit.com 名稱改回 regedit.exe，至此病毒清除成功，登錄檔修復完畢,重新開機即可.