查看: 5058|回复: 2
收起左侧

[讨论] 手动清除system32\com目录下lsass.exe和smss.exe病毒

[复制链接]
lonjet
发表于 2008-1-14 17:12:00 | 显示全部楼层 |阅读模式
步骤

1.
查看进程中是否有成双的lsass.exesmss.exe进程,进入cmd命令行格式下,定位到c盘的system32\com目录下,用attrib命令查看是否有netcfg.000,netctg.dll,smss.exe,lsass.exe和以000开头的.log文件,再定位到各盘符的根目录下面,同样用attrib命令看下是否有pagefile.pifautorun.inf文件,如果有上述的文件和进程特征,则系统已经被病毒感染。
2.
刻录一张可以进入纯dosPE盘,进入纯dos状态,定位到步骤1中所提到的文件名,用attribdel命令做混合删除,其中attrib命令用于更改上述文件的属性,把病毒文件的属性修改完后,用del命令做删除。现发一实例如下(假设发现并删除lsass.exe文件,上行讲解,下行演示)

dos下进入c:\windows\system32\com目录
cd \windows\system32\com
查看该目录下具有属性的文件
attrib
清除lsass.exe文件的属性
attrib -s –h c:\windows\system32\com\lsass.exe(注:一定要写绝对路径,相对路径删除不起作用)
删除lsass.exe文件
del c:\windows\system32\com\lsass.exe(注:同上)
(注:如果是在server系统中,实例中的windows改为winnt)
3.
按照实例的方法删除第1步中所提到的文件。
4.
重新启动系统直接进入到PE状态,删除c:\documents and settings目录下的所有帐户的temptemplatescookies文件夹,删除各用户下localsttings文件里的history,temptemprary internet files文件夹。如发现ntuser.datntuser文件也删除。清空浏览器中的文件,清空c:\windows目录下的tempprefetch文件夹。
5.
重新启动系统进入正常模式,安装杀毒软件(目前McAfee已经可以查杀此病毒),并作全盘扫面以修复受感染的文件。
6.
系统恢复正常。



(说明:把所有的机器都打上系统补丁,视企业状况适当发放上网权限,做好u盘插口的免疫措施。安装杀毒软件,并及时更新病毒库)

评分

参与人数 1经验 +10 收起 理由
小邪邪 + 10 感谢提供分享

查看全部评分

深红的雪
发表于 2008-1-14 17:32:35 | 显示全部楼层
是不是发错区了?

不必那么麻烦,又进DOS又进PE。用组策略就可以解决问题了
深度扫描
发表于 2008-1-15 09:28:26 | 显示全部楼层
lsass.exe和smss.exe进程要多与一个才能 怀疑是中毒。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-29 07:48 , Processed in 0.132066 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表