介紹
落雪木馬,是有大約14個文件組成的龐大的木馬病毒文件隊伍,一旦中毒,病毒文件就象落雪一樣嘩嘩下到電腦中,這也是如此命名它的原因。
病毒症狀
進程裡面有2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程為病毒)。雙擊D:盤打不開,隻能通過右擊選擇打開來打開。用kaspersky掃描可以掃描出來,并且可以殺掉。
但是重啟後又有兩個lsass。exe進程。該病毒是一個木馬程序,中毒後會在D盤根目錄下産生command.com和autorun.inf兩個文件,同時侵入注冊表破壞系統文件關聯。該病毒修改注冊表啟動RUN鍵值,指向LSASS。exe,修改HKEY_CLASSES_ROOT下的.exe,exefile鍵值,并新建windowfile鍵值。将exe文件打開鍊接關聯到其生成的病毒程序%SYSTEMEXERT.exe上。
解決方法
結束進程
調出windows服務管理器(Ctrl+Alt+Del),發現通過簡單的右擊當前用戶名的lsass。exe來結束進程是行不通的。會彈出該進程為系統進程無法結束的提醒框;鼠标右鍵點擊任務欄,選擇任務管理器。
點擊菜單“查看(V)”-“選擇列(S)”,在彈出的對話框中選擇“PID(進程标識符)”,并點擊“确定”。找到映象名稱為“LSASS.exe”,并且用戶名不是“SYSTEM”的一項,記住其PID号。點擊“開始”-“運行”,輸入“CMD”,點擊“确定”打開命令行控制台。輸入“ntsd–cq-p(PID)”。
删除文件
以下要删除的文件大多是隐藏文件所以要首先設置顯示所有的隐藏文件、系統文件并顯示文件擴展名;我的電腦-->工具(T)-->文件夾選項(O)-->查看-->選擇“顯示所有文件和文件夾”,并把隐藏受保護的操作系統文件(推薦)前的勾去掉,這時會彈出一個警告,選擇是。至此就顯示了所有的隐藏文件了。
