[求助]进程多了一个lsass的进程

看置顶

1,ms没什么异常。。 2.打不开MSCONFIG。。。 3.开始下了5，6个AUTO病毒专杀没有效果 启动时开任务管理器看到LSASS运行了好久 不知道是不是这个的问题 刚才手动删了几个AUTORUN.INF的文件 现在好像好了一点 请帮我看下这个lsass有问题吗 ？ 谢谢。。。 【 在 rebirthatsix 的大作中提到: 】 : 看置顶

【 在 dddehen 的大作中提到: 】 : 1,ms没什么异常。。 : : 2.打不开MSCONFIG。。。 : ................... 看下是不是有pagefile.pif我中过此毒，在system\com下新建了lsass和imss

下面说一下感染特征，首先请先设置显示所有文件。 （“我的电脑”，“工具”，“文件夹选项”，“查看”选项卡：勾选“显示系统文件夹的内容”，取消“隐藏受保护的操作系统文件”，取消“隐藏已知文件类型的扩展名”，选择“显示所有文件和文件夹”，基于安全理由，我强烈建议大家使用此作为以后的长期设置，便于发现病毒和识别危险文件。） 1.在各个分区根目录下面出现名为“runauto..”的文件夹，“autorun.inf”或“autorun.inf.tmp”的文件。 2.在C:\WINDOWS\下面出现lsass.exe，cmd.exe.exe，regedit.exe.exe，setuprs1.pif文件。 3.打开任务管理器会发现有两个名为lsass.exe的进程。 4.在我的电脑里面打开每一个分区都是以新窗口打开的。 5.MMC控制台打开以后很短时间内会自动关闭。 6.U盘或移动硬盘出现无法打开的问题。（会出现一个打开方式的窗口） 基本上前3点都很明显了，后面3点也是系统异常，正常的lsass.exe是系统进程，并且只会同时运行一个，正确的路径是C:\WINDOWS\SYSTEM32\lsass.exe。 以下部分内容参考网上的信息，另结合个人总结 ********************木马隐藏的所有地方****************** 一，注册表项 1.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 查看cmd.exe,msconfig.exe,regedit.exe,regedt32.exe等项，建议把该树下的每一个项目都仔细查看，发现值为"setuprs1.pif"或"xxx.pif"的都删掉，同时搜索硬盘内对应的"xxx.pif"文件。 2.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kkdc 3.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List 中的"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe" 4.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kkdc 5.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List 中的"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe" 建议在注册表编辑器中搜索"lsass.exe"发现路径不是"C:\WINDOWS\SYSTEM32\lsass.exe"的都要删掉。 二，文件和文件夹 1.各个分区根目录下面的"runauto.."文件夹，其真正的文件夹名为"runauto...\"，删除使用如下命令： RMDIR C:\runauto...\ /S /Q 2.各个分区根目录下面的"autorun.inf"或"autorun.inf.tmp"文件，建议使用如下命令删除： DEL C:\autorun.* /F /Q /A R H S A 3.Windows目录下面的lsass.exe,cmd.exe.exe,regedit.exe.exe,setuprs1.pif和其他图标为透明的exe文件例如r.exe 删除命令： DEL C:\WINDOWS\lsass.exe /F /Q /A R H S A DEL C:\WINDOWS\setuprs1.pif /F /Q /A R H S A DEL C:\WINDOWS\cmd.exe.exe /F /Q /A R H S A DEL C:\WINDOWS\regedit.exe.exe /F /Q /A R H S A DEL C:\WINDOWS\r.exe /F /Q /A R H S A ********************手工清杀方法****************** 知道了木马隐藏的地方，对照着自己清理就行了，不过该木马使用了很多保护自己的方法，可能会面对无法删除文件或无法删除有关注册表项的问题，导致无法杀绝，然后该木马又自动重生，下面结合自己的个人经验说一下有关问题的解决。 1.无法删除lsass.exe文件，基本上所有文件里面就这个文件比较难以删除，原因是该进程正在运行，而任务管理器无法中止该任务，而且如果该进程不杀掉的话所有工作会白费，木马会重新建立。 解决方法： 1)通过NET STOP "Kerberos Key Distribution Centers"中止木马进程，可以直接在运行里面运行，也可以在命令行里面运行。注意由于该木马自动关联了cmd.exe,regedit.exe等有关工具，所以在使用这些工具的时候先把有关文件copy出来，改成其他文件再运行，如regedit.exe copy 成123.exe，文件本身是没有被修改的，但是由于注册表中的关联，所以在执行这些文件的时候会自动执行木马进程，所以要先改名再运行。把进程关掉，然后删掉所有文件，再使用改过名的注册表编辑器打开注册表，删掉有关键值，重启即可。 2)下载进程终结工具终结该进程。3)启动到DOS模式删除有关所有文件，只要能把所有木马的文件删掉，即使注册表还未清理，但是因为木马本身已被杀掉了，所以是不起作用的，重启以后进windows清理注册表即可。 2.无法删除"runauto.."文件夹。 解决方法：该文件夹真正的名称为"runauto...\" 执行RMDIR C:\runauto...\ /S /Q即可删除。 3.我写了一个专门的批处理命令行来删除所有的文件： --------------------命令行工具开始-------------------- @echo off echo "先中止病毒进程" NET STOP "Kerberos Key Distribution Centers" echo "删除C盘病毒文件" DEL C:\WINDOWS\lsass.exe /F /Q /A R H S A DEL C:\WINDOWS\setuprs1.pif /F /Q /A R H S A DEL C:\WINDOWS\cmd.exe.exe /F /Q /A R H S A DEL C:\WINDOWS\regedit.exe.exe /F /Q /A R H S A DEL C:\WINDOWS\r.exe /F /Q /A R H S A echo "删除各个分区根目录下文件，需要根据各个电脑的分区数量进行调整" RMDIR C:\runauto...\ /S /Q DEL C:\autorun.* /F /Q /A R H S A RMDIR D:\runauto...\ /S /Q DEL D:\autorun.* /F /Q /A R H S A RMDIR E:\runauto...\ /S /Q DEL E:\autorun.* /F /Q /A R H S A RMDIR F:\runauto...\ /S /Q DEL F:\autorun.* /F /Q /A R H S A RMDIR G:\runauto...\ /S /Q DEL G:\autorun.* /F /Q /A R H S A COPY C:\WINDOWS\regedit.exe C:\WINDOWS\ghregedi.exe echo "注册表编辑器已备份为ghregedi.exe" COPY C:\WINDOWS\SYSTEM32\cmd.exe C:\WINDOWS\SYSTEM32\ghcmd.exe echo "命令行工具已备份为ghcmd.exe" echo "文件删除完毕，请重新启动并清理注册表相关项。" --------------------命令行工具结束-------------------- 新建一个记事本文档，把分割线之间的内容复制进去（不包括分割线），另存为123.bat然后执行即可。 4.如果你的电脑找不到cmd.exe或regedit.exe，我这里提供了一个。 点击浏览该文件 --------------------最后的分割线-------------------- 最后，注明一行参考的资料，其实都是参考前人的一些经验，感谢各位达人的贡献。 http://ks.cn.yahoo.com/question/?qid=1407040504076&source=ysearch_ks_question_ask http://aqqle.blog.com.cn/archives/2007/delrunauto.shtml 另外大家用百度或Google搜索一下"runauto.."也可以找到很多相关内容以及专杀工具。因为我也试过一些专杀工具但是或者无用或者不彻底，建议有能力的人还是手工查杀比较可靠，据说这个东西叫灰鸽子2007，我也是通过搜索知道的。 这个东西是通过U盘或移动硬盘传播的，并且几乎可以100%感染，建议大家都关闭自动运行功能，以后大家用U盘的时候就要注意一下，有写保护功能的都开着吧，打印店是万毒之源。。。

啊 好像就是这个问题 看起来很麻烦的说 谢谢！ 重装系统能解决吗 ？ 【 在 kill 的大作中提到: 】 : 下面说一下感染特征，首先请先设置显示所有文件。 : （“我的电脑”，“工具”，“文件夹选项”，“查看”选项卡：勾选“显示系统文件夹的内容”，取消“隐藏受保护的操作系统文件”，取消“隐藏已知文件类型的扩展名”，选择“显示所有文件和文件夹”，基于安全理由，我强烈建议大家使用此作为以后的长期设置，便于发现病毒和识别危险文件。） : 1.在各个分区根目录下面出现名为“runauto..”的文件夹，“autorun.inf”或“autorun.inf.tmp”的文件。 : ...................

按照你发的方法解决了 谢谢~~ 不过删注册表的时候好像删错了一些和系统LSASS的东西 删了部分就没删了 就不管了 现在任务管理器就一个LSASS进程了 【 在 kill 的大作中提到: 】 : 下面说一下感染特征，首先请先设置显示所有文件。 : （“我的电脑”，“工具”，“文件夹选项”，“查看”选项卡：勾选“显示系统文件夹的内容”，取消“隐藏受保护的操作系统文件”，取消“隐藏已知文件类型的扩展名”，选择“显示所有文件和文件夹”，基于安全理由，我强烈建议大家使用此作为以后的长期设置，便于发现病毒和识别危险文件。） : 1.在各个分区根目录下面出现名为“runauto..”的文件夹，“autorun.inf”或“autorun.inf.tmp”的文件。 : ...................

HijackThis 分析的结果 Logfile of HijackThis v1.99.1 Scan saved at 8:12:14, on 2007-5-13 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe k:\Program Files\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe k:\Program Files\Rising\Rav\Ravmond.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe k:\Program Files\Rising\Rav\RavStub.exe K:\Program Files\Belkin Mouse 1.0\mouse32a.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Common Files\Sogou PXP\p2psvr.exe K:\Program Files\Rising\Rav\RavTask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe K:\软件\HijackThis.exe R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file) R3 - URLSearchHook: (no name) - {BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D} - (no file) O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} - C:\Program Files\P4P\sodaie.dll (file missing) O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - K:\Program Files\BitComet\tools\BitCometBHO.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: IEHlprObj Class - {DE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\POPNTS.DLL (file missing) O2 - BHO: (no name) - {E5A7A15F-213F-4FCF-8DE7-D388F9FB09EB} - C:\WINDOWS\system32\cnwin.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: 搜狗工具条 - {DBBB7978-AF21-4EF4-9AD1-B2F4BC75696C} - C:\Program Files\P4P\ToolBar.dll (file missing) O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll O4 - HKLM\..\Run: [FLMBELKINMOUSE] k:\Program Files\Belkin Mouse 1.0\mouse32a.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RavTask] "k:\Program Files\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\RunOnce: [RavStub] "k:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [updatereal] C:\WINDOWS\realupdate.exe other O4 - HKCU\..\Run: [msnnt] C:\WINDOWS\winampr.exe O4 - HKCU\..\Run: [winsamps] C:\WINDOWS\winamps.exe O8 - Extra context menu item: &使用BitComet下载 - res://K:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &使用BitComet下载全部链接 - res://K:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: &使用BitComet下载本页视频 - res://K:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &使用迅雷下载 - k:\Program Files\Thunder Network\Thunder\geturl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - k:\Program Files\Thunder Network\Thunder\getallurl.htm O8 - Extra context menu item: 上传到QQ网络硬盘 - K:\Program Files\Tencent\QQ\AddToNetDisk.htm O8 - Extra context menu item: 使用搜狗直通车下载 - C:\Program Files\P4P\dl.htm O8 - Extra context menu item: 发送图片到手机 - C:\Program Files\P4P\cx.htm O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://K:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: 添加到QQ自定义面板 - K:\Program Files\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: 添加到QQ表情 - K:\Program Files\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: 添加到“我的订阅” - C:\Program Files\P4P\rss.htm O8 - Extra context menu item: 用QQ彩信发送该图片 - K:\Program Files\Tencent\QQ\SendMMS.htm O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\haofang\GameClient.exe O9 - Extra button: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing) O9 - Extra 'Tools' menuitem: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing) O9 - Extra button: 我的订阅 - {8755CE6E-0BF7-4441-8751-FB728941B0B4} - C:\Program Files\P4P\rss.dll (file missing) O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - K:\Program Files\Tencent\QQ\QQ.EXE O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - K:\Program Files\Tencent\QQ\QQ.EXE O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) - http://p3p.sogou.com/MMCShell.cab O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - K:\PROGRA~1\KuGoo3\InExtend\KUGOO3~1.OCX O20 - AppInit_DLLs: C:\WINDOWS\system32\SoDAHK.DLL O20 - Winlogon Notify: ScCardLogn - C:\WINDOWS\ScNotify.dll (file missing) O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: P4P Service - Sohu.com Inc. - C:\Program Files\Common Files\Sogou PXP\p2psvr.exe O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - k:\Program Files\Rising\Rav\CCenter.exe O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - k:\Program Files\Rising\Rav\Ravmond.exe

删除所有提示nofile 和file missing的 以及: O4 - HKCU\..\Run: [updatereal] C:\WINDOWS\realupdate.exe other O4 - HKCU\..\Run: [msnnt] C:\WINDOWS\winampr.exe O4 - HKCU\..\Run: [winsamps] (以上三个应该是病毒吧) O20 - AppInit_DLLs: C:\WINDOWS\system32\SoDAHK.DLL (搜狗直通车相关文件,自己看着办,推荐删除)

结束一个不行么