UC知道考大家一个问题,看谁最先拿出解决方案
来源:百度知道 编辑:UC知道 时间:2024/06/23 04:30:21
一个病毒文件:LSASS.EXE,路径:X:\WINDOWS\LSASS.EXE(是个实在的病毒,类型为特洛依,外带BACKDOOR)
病毒描述:
感染该病毒后,它会在X:\WINDOWS\下建立一个名字为LSASS.EXE的文件,且删除源文件,TASKMGR里进程显示为"LSASS.EXE"与另一个管理WINDOWS安全机制的系统进程"LSASS.EXE"同名。随后在X:\WINDOWS\下重新建立一个辅助病毒文件dllhost.exe,与管理*.DLL文件的系统程序“DLLHOST.EXE”名称一样。
情况:
DLLHOST.EXE进程可以终止,但是因为有病毒进程“lsass.exe",所以它又会重新调用dllhost.exe,病毒进程lsass.exe无法终止,提示为“该进程为系统进程,无法终止”。使用msconfig检查不到该病毒的启动项,而进入安全模式,该病毒进程也会正常加载(我个人怀疑是正常进程lsass.exe调用系统*.DLL程序时会唤醒病毒进程lsass.exe,所以在安全模式下,该进程也会被加载)。
解决要求:
经测试,各大杀毒软件或者特洛依清除软件可以成功清除该病毒。
现要求大家用手动方式清除该病毒,可以使用辅助工具,但不能使用任何可以对该病毒直接清除的软件。
希望高手们能拿出解决方案!
我已经拿出了解决方案,但是该病毒的注册值应该没有删除完整,看看大家有什么办法可以手动完全删除
再补充:四楼的兄弟接近了,确实是一个线程插入技术的特洛依,在系统加载LSASS.EXE的时候被唤醒,希望你再补充完整一点,我对你抱很高的期望,提示下:注册表问题,别忘了这还是个BACKDOOR,删除后可能又会被重新下载
再补充:我的要求是可以使用辅助软件哦,当然,可以强行终结线程的软件也不少嘛,比如"冰剑"......
病毒描述:
感染该病毒后,它会在X:\WINDOWS\下建立一个名字为LSASS.EXE的文件,且删除源文件,TASKMGR里进程显示为"LSASS.EXE"与另一个管理WINDOWS安全机制的系统进程"LSASS.EXE"同名。随后在X:\WINDOWS\下重新建立一个辅助病毒文件dllhost.exe,与管理*.DLL文件的系统程序“DLLHOST.EXE”名称一样。
情况:
DLLHOST.EXE进程可以终止,但是因为有病毒进程“lsass.exe",所以它又会重新调用dllhost.exe,病毒进程lsass.exe无法终止,提示为“该进程为系统进程,无法终止”。使用msconfig检查不到该病毒的启动项,而进入安全模式,该病毒进程也会正常加载(我个人怀疑是正常进程lsass.exe调用系统*.DLL程序时会唤醒病毒进程lsass.exe,所以在安全模式下,该进程也会被加载)。
解决要求:
经测试,各大杀毒软件或者特洛依清除软件可以成功清除该病毒。
现要求大家用手动方式清除该病毒,可以使用辅助工具,但不能使用任何可以对该病毒直接清除的软件。
希望高手们能拿出解决方案!
我已经拿出了解决方案,但是该病毒的注册值应该没有删除完整,看看大家有什么办法可以手动完全删除
再补充:四楼的兄弟接近了,确实是一个线程插入技术的特洛依,在系统加载LSASS.EXE的时候被唤醒,希望你再补充完整一点,我对你抱很高的期望,提示下:注册表问题,别忘了这还是个BACKDOOR,删除后可能又会被重新下载
再补充:我的要求是可以使用辅助软件哦,当然,可以强行终结线程的软件也不少嘛,比如"冰剑"......
光清除这2个进程是没有用的
它既然能调用 DLLHOST.EXE这个进程,肯定还加载了相应的dll文件了。而且使用函数使这个dll对某些其它重要的系统进程进行了插入了。
我只是这样的认为。但我没有相应的完整的解决方法。希望对你有用
哈,恢复一下就P事情都米了~~~~
哈,我在说废话~~~
学习中。。。。
使用 UNLOCKER 可以把一个程序从另一个程序中分离出来 ,无运行进程可直接删除文件, 或用SysCheck 在进程管理中有粉红色的进程 这些进程中都插入了一些程序, 在其上点右键 选择全局卸载指定模块 上面提到的Lsass 中应该被插入了进程