顽强不屈的病毒
一直以来,我都不这么在意病毒,因为我经常更新卡巴斯基和AVG Anti-Spyware,配合360安全卫士以及自启动查看器autoruns,大问题一般是不会有的。
不过,今天下午我的电脑插了一下同学拿来的U盘,接下来的事情真是莫明其妙。
插入U盘时,卡巴斯基提示发现木马病毒,当然是杀无赦。不过我发现U盘里有一个runauto..文件夹删不掉也无法打开。runauto这个名字让我想起了前段时间比较流行的“autorun风暴”。用卡巴斯基再扫描一遍,没发现病毒。我也就不管那么多了。过了一会儿,我突然发现右下角的卡巴图标不见了,查看进程,确实没了熟悉的avp.exe。重新开启卡巴斯基,不久又挂了。这时候,360安全卫士发挥作用了,点击“查杀恶意软件”,发现lsass木马,选择清除。难怪我检查进程的时候没发现什么异常,原来有两个lsass进程。卡巴斯基为什么没有发现进程里的病毒呢?这一点我搞不明白,或许卡巴早已经被干掉了。
仔细观察,我们可以学到更多,前提是你还没有清理掉“lsass木马”。还是360安全卫士,选择“工具-系统进程”,选择lsass.exe,对应的路径应为“C:\WINDOWS\lsass.exe”。终止该lsass.exe进程,然后用WinRAR删除(在资源管理器下打开C盘容易造成二次感染,有时也可以右击盘符,在弹出的菜单中选择打开)以下文件:
C:\WINDOWS\lsass.exe
C:\autorun.inf.tmp
C:\autorun.inf
检查一下其它盘符的根目录,有的话同样删除autorun.inf.tmp,autorun.inf。
接着,清除病毒在注册表创建的两个动作:
HKLM\System\CurrentControlSet\Services\kkdc\\FailureActions
HKLM\System\CurrentControlSet\Services\kkdc\\Start
也就是删除kkdc这项。
以上就是手工清除病毒的过程。
不过,有一点值得注意,那就是不管你是用杀毒软件删除病毒的,还是纯手工清理的。有一个地方还得另外解决,就是每个盘根目录下的runauto..文件夹。在资源管理器下runauto..文件夹是删不掉的。cmd下,输入“rd /s runauto..\”,还是不行,为什么呢?
这里不作探讨,大家可以看一下《U..\ 无法正常访问的真正原因》。
解决的方法其实很简单,在cmd下(点击开始菜单-运行,输入cmd,点“确定”),输入:
cd \
rd /s runauto…\
注意:runauto后有3个“.”,提示输入“y”,按回车就行了。
同理删除其它盘符下的“runauto..”文件夹。DOS进入其它盘符cd X:(X为C,D,E,F等),这应该不用多说吧。
也可以用:
rd /s \\.\C:\runauto..\
其它盘符只要把其中的“C”换成相应的盘符(如D,E,F等)就可以了。
删除文件也可以参考以下软件:
Unlocker http://ccollomb.free.fr/unlocker/
PowerRmv(数据 病毒 木马 暴力杀灭天王)
XDelBox http://egomoo.i170.cn/
至此,“lsass病毒”被彻底清理掉了。
作者: Freeman | 可以转载, 转载时务必以超链接形式标明文章原始出处和作者信息及版权声明
网址: http://snsnow.com/blog/clean-the-lsass/
嗯,很好!
谢谢 解决了,thanks