|
lssass.exe病毒
lssass.exe可能是個木馬(後門)一類的東東。這個木馬比較狡猾。處理時須仔細分辨真假。否則,容易上當!木馬運行後,用假SERVICES.EXE替換真正的系統程式services.exe(將C:\WINDOWS\system32\目錄下的系統程式services.exe改名為hbaxcsnp.dll,移到C:\WINDOWS\system32\wins\目錄);C:\WINDOWS\system32\目錄下的SERVICES.EXE變為木馬程式。這個假冒的SERVICES.EXE檔大小與真的系統程式相同,只是MD5值不同。此外,還釋放一個qrafgsy.dll到C:\WINDOWS\system32\目錄下,此dll插在那個假冒的SERVICES.EXE進程中運行。中招後的典型症狀:用IceSword查看進程列表時,可以發現兩個services.exe進程。一個是dll圖示,另一個是.exe圖示。用SRENG掃日誌,唯一可見的異常是:[PID: 628][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)][C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1 .58][C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58][PID: 1716][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)][C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58][C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58][C:\windows\system32\qrafgsy.dll] [N/A, ]注意:進程號為PID:1716的services.exe進程中有一個異常模組qrafgsy.dll。說到這兒,有必要強調一個基本常識:真正的系統進程services.exe載入較早,其PID號不會太大。單憑進程號判斷,也可知道PID: 1716的那個SERVICES.EXE是假的。用IceSword的手工殺毒流程:1、結束那個假冒的SERVICES.EXE進程。注意:千萬不要結束那個DLL圖示的services.exe進程(指向C:\WINDOWS\system32\wins\hbaxcsnp.dll),否則,系統立即崩潰、重啟。2、刪除C:\WINDOWS\system32\目錄下的SERVICES.EXE和qrafgsy.dll(圖3)。3、將C:\WINDOWS\system32\wins\hbaxcsnp.dll改名為services.exe,拷回C:\WINDOWS\system32\目錄。4、重啟系統。
|
