UC知道求救!SMSS和LSASS病毒
来源:百度知道 编辑:UC知道 时间:2024/05/29 09:07:40
重启后,发现卡巴已经被屏蔽,各盘下均没有看见auto和pagefile(我从来不隐藏文件),但不放心,再用auto专杀扫一遍,依然说发现病毒并已杀,然后我还没反应过来就又自动重启。
意识到不对劲,赶紧进安全模式,蓝屏,失败。
用系统还原,顺利还原,但卡巴依然被屏蔽,病毒也依然存在。任务管理器里出现我的用户名下的smss和lsass进程。用processexplorer只能强行关闭smss,对lsass无可奈何,并且发现了在driver下的alg.exe。
在网上找了N个版本的教程,全部失败……在删除文件那步,大家所说的那些病毒文件一个都找不到。
从冰刃到360,所有目前有点名气的杀毒软件或工具全部被屏蔽,改名都不行,解压后双击只弹出一个界面的框框,一刷新就恢复到没点击过的状态。sreng2.5也同上,找了手动干预exe文件关联的方法,全部失败。
msconfig可以正常打开,修改,但按确定时就没了反应。从第三次尝试开始发现大家所说的那个~.exe,前两次没出现,后面就一直都能看见了。
软件出现异常,部分软件可以正常使用,部分软件图标被虚化,在网上查到很多相关信息,知道那些是被病毒染了。
我从不隐藏后缀名,但斗争了半个多小时后突然发现所有后缀名都不见了,用网上介绍的方法尝试恢复,失败。
文件夹选项也是,“隐藏受保护的操作系统文件(推荐)”项消失,无法恢复。注册表可以进去,网上说要修改的部分不是不存在就是不管怎么改都没什么效果。
system32里发现com文件夹,可以看见的都能轻松删除,但smss和lsass看不见,应该是隐藏了,而隐藏文件几乎都不能显示
我也中过那个,症状几乎一样,纠缠了好久才勉强摆平它。
当时,我在网上看了不下50多个相关的教程,但是每个都不太一样。我分批一个个试过去,基本上把他们写过的方法都试了一遍。可能我运气比较好,就在我快要放弃的时候突然卡巴斯基回光返照,活过来了。本来中毒时候的右键菜单中,卡巴斯基完全是半透明的,无法选择扫描,在试遍各种方法已经不知道还能做什么的时候,我无意中点了右键,突然发现卡巴变成正常状态那样的饱满色了。我抓紧时间去尝试启动卡巴斯基。头两次刚出现在任务栏就提示有威胁,但是我手不够快,在我点处理之前就又被关闭了,第三次有了经验,好不容易抢到时间点到了处理威胁,卡巴终于被顺利打开。这个时候再去看任务管理器就会发现那两个毒都没在运行。其实我到现在都还没搞清楚到底是因为那两个毒在那个时候没在运行所以才能找到机会打开卡巴斯基,还是因为我抢到时间打开卡巴斯基了那两个毒才从进程中消失的,不过可以肯定的是,一旦卡巴开始运行处理威胁了,那两个毒就无法把它关掉了。整个查杀过程基本顺利,杀出109个威胁,处理了45个木马、病毒和广告程序,包括U盘里的一起搞定。然后再按照大家的方法一步步做就都没什么问题了。
个人感觉关键就是那一步。在卡巴扫的同时,在winrar中打开我的电脑和各个盘,在这里即使是之前看不见的隐藏文件也都能看到,把所有auto和pagefile删光,不过这个需要了解那些隐藏文件,万一失手删错可能会有麻烦。不太了解的人也可以先看一下那些文件的修改时间,基本上修改时间为中毒前后的都要重点注意。
然后把机子里所有已经被感染、图标变花的软件都删光。上网复制高手提供的注册表修复编码,保存为reg文件,运行搞定注册表。同理,用编码的reg文件找回扩展名和隐藏文件。然后去下载冰刃和SREng,以防万一,在运行前先改名,现在就终于可以正常打开了,再清理一下,顺便用SREng修复安全模式。不过不知为啥,我修复无效,看网上说SREng的安全模式修复不是一定成功,所以就再找了一个修复安全模式的编码。
最后,用msconfig进启动项,确认启动项是否恢复正常,在这里还可以看到之前的那个~.exe毒,不过已经可以修改了,直接取消前面的勾,只保留ctfmon和杀毒软件。最后重启,试了一下安全模式,已经可以进去了,