標題:
lssass.exe病毒
[打印本頁]
作者:
admin
時間:
2009-11-16 22:33
標題:
lssass.exe病毒
lssass.exe
可能是個木馬(後門)一類的東東。
這個木馬比較狡猾。處理時須仔細分辨真假。否則,容易上當!
木馬運行後,用假
SERVICES.EXE
替換真正的系統程式
services.exe
(將
C:\WINDOWS\system32\
目錄下的系統程式
services.exe
改名為
hbaxcsnp.dll
,移到
C:\WINDOWS\system32\wins\
目錄);
C:\WINDOWS\system32\
目錄下的
SERVICES.EXE
變為木馬程式。這個假冒的
SERVICES.EXE
檔大小與真的系統程式相同,只是
MD5
值不同。此外,還釋放一個
qrafgsy.dll
到
C:\WINDOWS\system32\
目錄下,此
dll
插在那個假冒的
SERVICES.EXE
進程中運行。
中招後的典型症狀:
用
IceSword
查看進程列表時,可以發現兩個
services.exe
進程。一個是
dll
圖示,另一個是
.exe
圖示。用
SRENG
掃日誌,唯一可見的異常是
:
[PID: 628][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1 .58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[PID: 1716][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\qrafgsy.dll] [N/A, ]
注意:進程號為
PID:1716
的
services.exe
進程中有一個異常模組
qrafgsy.dll
。
說到這兒,有必要強調一個基本常識:真正的系統進程
services.exe
載入較早,其
PID
號不會太大。單憑進程號判斷,也可知道
PID: 1716
的那個
SERVICES.EXE
是假的。
用
IceSword
的手工殺毒流程:
1
、結束那個假冒的
SERVICES.EXE
進程。注意:千萬不要結束那個
DLL
圖示的
services.exe
進程(指向
C:\WINDOWS\system32\wins\hbaxcsnp.dll
),否則,系統立即崩潰、重啟。
2
、刪除
C:\WINDOWS\system32\
目錄下的
SERVICES.EXE
和
qrafgsy.dll
(圖
3
)。
3
、將
C:\WINDOWS\system32\wins\hbaxcsnp.dll
改名為
services.exe
,拷回
C:\WINDOWS\system32\
目錄。
4
、重啟系統。
歡迎光臨 頭彩論壇 (http://r560421.freebbs.tw/)
Powered by Discuz! 5.0.0