欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

LSASS.EXE中招亲历记+完美解决方案

来源:www.hack58.com 作者:佚名 时间:2006-09-12 TAG: 我要投稿
我的电脑安全环境

SP1.

配置Intel(R) Pentiun(R) 4 CPU 2.40GHz 512M的内存

开了天网,咖啡8.0I 还有ewido


QUOTE:

  中招经过,只因去一个常看电影的网站,中午无聊想看龙虎门,直点收藏夹,那站没想到被人看上了,进去后,当时电脑就卡着了,死机了,好不容易强制关掉GB ,进程一看,多了N个进程.禁止,点运行msconfig,完全没有任何反应,网络都上不了,只能脱机打开百度.

  一打开任务管理器,哇,蒙了.都成双的来了,最最最厉害的就是这个家伙居然产生两个进程,都是很常见的,LSASS.跟CTFMON,根本就禁止不掉的,一点禁止就会跳出该进程为系统进程.

  无奈进入安全模式,全部显示文件+隐藏文件,先用cureit.exe,没想到,厉害,这个文件只能打开前面那个start界面,后面就说不能进行啥滴,反正是英文,不懂,然后用HJ扫,(可惜所有的都不在了,今天偶重装系统了,不是因为病毒,是因为网卡的原因)修复,修了再修还是无效,用EW扫,都无效,只能治标不治本.

  正常的系统进程都在system下面的,这几个产生的都是直接在windows下面的,去删除,但是只要一运行msconfig就会自动产生lsass.exe这个进程了,郁闷,不过我是先进了临时文件夹删除了一些东西,都是那些LJ坏蛋安装包.

  所有的软件搞不定,只能动手在同事的电脑上搜索了一篇,最全的解决方案,命真好,一搜就到了:)



==========最全面的LSASS.EXE解决方法==========


QUOTE:
正文开始:

以windows xp为例

一、准备工作:

打开“我的电脑”——工具——文件夹选项——查看
a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;
b、勾中“显示所有文件和文件夹”

二、结束进程

用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;

点到任务管理器进程面版,点击菜单,"查看"-"选择列",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"——运行,输入"CMD",点击"确定"打开命令行控制台。

输入"ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字,是当前用户名进程的PID,别看错了)",比如我的计算机上就输入"ntsd –c q -p 1064".这样进程就结束了。(如果结束了又会出现,那么你还是用下面的方法吧)

进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).
用EWIDO可以直接禁止结束掉的,但是这个上面那个在DOS下面的也很不错的哦!

三、删除病毒文件

删除如下几个文件: (与WIN2000的目录有所不同)

C:/Program Files/Common Files/INTEXPLORE.pif (有的没有.pif)

C:/Program Files/Internet Explorer/INTEXPLORE.com

C:/WINDOWS/EXERT.exe

C:/WINDOWS/IO.SYS.BAK

C:/WINDOWS/LSASS.exe

C:/WINDOWS/Debug/DebugProgram.exe

C:/WINDOWS/system32/dxdiag.com

C:/WINDOWS/system32/MSCONFIG.COM

C:/WINDOWS/system32/regedit.com


在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.


四、删除注册表中的其他LJ信息

将C:/WINDOWS目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:

1、HKEY_CLASSES_ROOT/WindowFiles

2、HKEY_CURRENT_USER/Software/VB and VBA Program Settings

3、HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main 下面的 Check_Associations项

4、HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif

5、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下面的ToP项


五、修复注册表中被篡改的键值(红色部分为需要信息)

1、将HKEY_CLASSES_ROOT/.exe的默认值修改为 "exefile"(原来是windowsfile)

2、将HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command 的默认值修改为 "C:/Program Files/Internet Explorer/iexplore.exe" %1 (原来是intexplore.com)

3、将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D} /shell/OpenHomePage/Command 的默认值修改为
"C:/Program Files/Internet Explorer/IEXPLORE.EXE"(原来是INTEXPLORE.com)

4、将HKEY_CLASSES_ROOT /ftp/shell/open/command 和HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command
的默认值修改为"C:/Program Files/Internet Explorer/iexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

5、将HKEY_CLASSES_ROOT /htmlfile/shell/open/command 和
HKEY_CLASSES_ROOT/HTTP/shell/open/command的默认值修改为
"C:/Program Files/Internet Explorer/iexplore.exe" –nohome

6、将HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)


六、收尾工作

关掉注册表编辑器

将C:/WINDOWS目录下的regedit.com改回regedit.exe
 


QUOTE:
又一个意外的小插曲,EXE文件关联出错

在改1、将HKEY_CLASSES_ROOT/.exe的默认值修改为 "exefile"(原来是windowsfile)
这一条的里面,我很不小心的把exefile改错了,导致我重启后,所有EXE文件都不能用了,网络不能用,没有优盘,真可怜,我以前的XP优化导入那东西又被我删了,
又在网上找了个方法,真好用,还真的不错,分享一下!!
1.重启,进入带命令提示符的安全模式
2.反正会有框框出来的,DOS界面么

3.输入命令 assoc<空格>.exe=exefile<回车>

打回画后就会看到.exe=exefile

4.EXIT退出,然后CTRL+ALT+DEL唤出管理器,选择重启,当当当,OK啦




QUOTE:
最后最后的话,俺昨天一天重启鸟了有七十多次,郁闷伐!

  病毒俺是杀掉了,速度也快了N倍,但是我的网络就死也上不了,DHCP指派不到IP呀,痛苦,我就就就想到系统还原,没辙,那破玩意开着的,居然说还原不到指定日期,整吧,我重装好了都关了,丫丫的反正无用武之地的东东。

  那破网卡,少个mic客户端,死也装不上啊。我费尽了心思,我求它,我删除它,我停用,我我我卸载,都不行,就差烧香了,为了一个网卡,偶重装了

干净。不过我的收藏夹忘了导出了,郁闷的一件事。 
【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载