手动清除system32\com目录下lsass.exe和smss.exe病毒

lonjet

步骤

1.
查看进程中是否有成双的lsass.exe和smss.exe进程，进入cmd命令行格式下，定位到c盘的system32\com目录下，用attrib命令查看是否有netcfg.000,netctg.dll,smss.exe,lsass.exe和以000开头的.log文件，再定位到各盘符的根目录下面，同样用attrib命令看下是否有pagefile.pif和autorun.inf文件，如果有上述的文件和进程特征，则系统已经被病毒感染。
2.
刻录一张可以进入纯dos的PE盘，进入纯dos状态，定位到步骤1中所提到的文件名，用attrib和del命令做混合删除，其中attrib命令用于更改上述文件的属性，把病毒文件的属性修改完后，用del命令做删除。现发一实例如下（假设发现并删除lsass.exe文件,上行讲解，下行演示）

在dos下进入c:\windows\system32\com目录
cd \windows\system32\com
查看该目录下具有属性的文件
attrib
清除lsass.exe文件的属性
attrib -s –h c:\windows\system32\com\lsass.exe(注：一定要写绝对路径，相对路径删除不起作用)
删除lsass.exe文件
del c:\windows\system32\com\lsass.exe(注：同上)
(注：如果是在server系统中，实例中的windows改为winnt)
3.
按照实例的方法删除第1步中所提到的文件。
4.
重新启动系统直接进入到PE状态，删除c:\documents and settings目录下的所有帐户的temp，templates和cookies文件夹，删除各用户下localsttings文件里的history,temp和temprary internet files文件夹。如发现ntuser.dat和ntuser文件也删除。清空浏览器中的文件，清空c:\windows目录下的temp和prefetch文件夹。
5.
重新启动系统进入正常模式，安装杀毒软件（目前McAfee已经可以查杀此病毒），并作全盘扫面以修复受感染的文件。
6.
系统恢复正常。



（说明：把所有的机器都打上系统补丁，视企业状况适当发放上网权限，做好u盘插口的免疫措施。安装杀毒软件，并及时更新病毒库）

深红的雪

是不是发错区了？

不必那么麻烦，又进DOS又进PE。用组策略就可以解决问题了

深度扫描

lsass.exe和smss.exe进程要多与一个才能 怀疑是中毒。