中毒了,,D盘直接点击打不开,要右键打开,右键最上面是自动播放.D盘里多了两个文件,一个是autorun.inf,一个是command.com文件。那个INF文件可能已经被恶意程序替换掉了,删除了也会自动生成的。
autorun.inf文件的内容好象是:
[autorun]OPEN=D:\command.com
其中的command.com是隐藏的文件,只要双击D盘盘符就会运行command.com
这个是我在网上找的资料,我中毒的机就是和这个情况一样的,我系统是2003服务器,木马客星给这个病毒搞的不能用了,瑞星开始能杀10几个病毒出来,但是后来就杀就检测不出来了,木马杀客也能杀几个,但是不知道是不是和这个有相关联的...
看了很多资料,好象这个叫什么踏雪病毒,挺恐怖.搞不好的话就算格掉了也会还有......我实在没有办法了,希望大哥们能帮下我,看下有没有解决的办法,
======================快活林==================
杀完后把那些文件都清除掉,再修复一下关联文件,你服务器都敢上那些网站,服了你。。。
到这个网址,说的就是你这个问题了。
http://dept2.xsyu.edu.cn/xsyuinfor/show.jsp?id=204
======================快活林==================
谢谢版主,问题已经解决了,以后吸取教训
不过这个病毒不是版主说的,但是真的很相象,现在我把我杀的过程写下来
.这个杀毒过程是来自网盟一个朋友的,希望大家也借鉴,个人觉得这个毒挺麻烦
lsass.exe病毒木马手工清除方法
病毒症状
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.
该病毒新建如下文件:
c:\program files\common files\INTEXPLORE.pifc:\program files\internet explorer\INTEXPLORE.com%SYSTEM\debug\debugprogram.exe%SYSTEM\system32\Anskya0.exe%SYSTEM\system32\dxdiag.com%SYSTEM\system32\MSCONFIG.com%SYSTEM\system32\regedit.com%SYSTEM\system32\LSASS.exe%SYSTEM\system32\EXERT.exe
解决方法
1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1064".
2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.
删除如下几个文件:
C:\Program Files\Common Files\INTEXPLORE.pifC:\Program Files\Internet Explorer\INTEXPLORE.comC:\WINDOWS\EXERT.exeC:\WINDOWS\IO.SYS.BAKC:\WINDOWS\LSASS.exeC:\WINDOWS\Debug\DebugProgram.exeC:\WINDOWS\system32\dxdiag.comC:\WINDOWS\system32\MSCONFIG.COMC:\WINDOWS\system32\regedit.com
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.
3.删除注册表中的其他^^信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:HKEY_CLASSES_ROOT\WindowFilesHKEY_CURRENT_USER\Software\VB and VBA Program SettingsHKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pifHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项
将HKEY_CLASSES_ROOT\.exe的默认值修改为"exefile"(原来是windowsfile)将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"(原来是intexplore.com)将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 的默认值修改为"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)将HKEY_CLASSES_ROOT \ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)将HKEY_CLASSES_ROOT \htmlfile\shell\open\commandHKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)
重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕.Enjoy It
