科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道菜鸟也能清除lsass.exe病毒

菜鸟也能清除lsass.exe病毒

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最近lsass.exe病毒肆虐网络,很多用户中了lsass.exe病毒的招,这里笔者针对lsass.exe列出一些手动清除办法,让新手也能对付lsass.exe病毒。
  • 评论
  • 分享微博
  • 分享邮件

样本来之本论坛,由1234提供
样本地址:http://www.du110.com/viewthread.php?tid=2557&extra=page%3D1

复制内容到剪贴板
代码:
name: lsass.exe
File size: 277767 bytes
MD5: 406d93ec4814b23f8f2f913dc4a313a1
SHA1: 092a2e84113618ee4460ad6c5d1aa1b441390d22
Kaspersky:Backdoor.Win32.Delf.aws

这个病毒比较狡猾,不仅将自己改成隐藏的系统属性,还将自己的图标做成这样




不仔细看,看真看不出来.

释放文件:
c:\windows\3707.txt
c:\windows\system32\deleteme.bat         (删除自身)  
c:\windows\lsass.exe
e:\autorun.pif
e:\autorun.inf.tmp

注册服务:
Kerberos Key Distribution Centers(kkdc)----达到自启动
访问网络:
IP:222.215.79.86          (没有下载任何病毒.可能是DDOS或者刷流量)
autorun.inf.tmp写入
这个病毒没有像其它病毒一样在每个盘下写入autorun.inf 而是仅在E:盘,嘿嘿,比较狡猾
内容:
[AutoRun]
open=autorun.pif
shell\1=打开(&O)
shell\1\Command=autorun.pif
shell\2\=浏览(&B)
shell\2\Command=autorun.pif
shellexecute=autorun.pif

进程:


系统级的,无法结束!
杀毒方法:
进安全模式--删除临时文件--关系系统还原.
在开始运内处输入:services.msc      禁用Kerberos Key Distribution Centers(kkdc)
将以下代码保存为zpepc.vbs 双击运行即可
on error resume next
msgbox "专杀脚本 我的空间:http://hi.baidu.com/zpepc!"
msgbox "本VBS模板由http://hi.baidu.com/ycosxhack 余弦函数 提供 感谢他在我病毒分析中给了我指导,在此特别感谢一下"
'文件删除
on error resume next
set fso=createobject("scripting.filesystemobject")
set del=wscript.createobject("wscript.shell")
set d1=fso.getfile("c:\windows\3707.txt")
set d2=fso.getfile("c:\windows\system32\deleteme.bat")
d1.attributes=0
d2.attributes=0
d1.delete
d2.delete
'autorun.inf与病毒删除
set fso=createobject("scripting.filesystemobject")
set pans=fso.drives
for each pan in pans
if pan.drivetype=1 or pan.drivetype=2 or pan.drivetype=3 or pan.drivetype=4 then
set wj=fso.getfile(pan.driveletter&":\autorun.pif")
wj.attributes=0
wj.delete
set wjs=fso.getfile(pan.driveletter&":\autorun.inf.tmp")
wjs.attributes=0
wjs.delete
end if
next
'autorun.inf免疫
set fso=createobject("scripting.filesystemobject")
set pans=fso.drives
for each pan in pans
if pan.drivetype=1 or pan.drivetype=2 or pan.drivetype=3 or pan.drivetype=4 then
fso.createfolder(pan.driveletter&":\autorun.inf")
fso.createfolder(pan.driveletter&":\autorun.inf\免疫..\")
set wj=getfolder(pan.driveletter&":\autorun.inf")
wj.attributes=3
end if
next
'HOST文件修复与屏蔽
set fso=createobject("scripting.filesystemobject")
set re=fso.OpenTextFile("C:\WINDOWS\system32\drivers\etc\hosts",2,0)
re.Writeline "127.0.0.1                       localhost"
re.Writeline "127.0.0.1                       222.215.79.86"
re.Close
set re=nothing
WScript.Sleep 4000
set fso=nothing
msgbox "以成功清除病毒,祝您上网更安全,如有问题,请访问http://hi.baidu.com/zpepct 给我留言!"
'写代码不容易,转载请保证代码的完整性!


特别提醒一点:在杀毒过程中,像一些autorun.inf病毒千万不要双击等方法打开硬盘,不然病毒又会被激活!
切记.......切记...............

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章