進程名字是lcass.exe工在systme2文件夾下產生4個文件名,Ntsvc.ocx、Mswinsck.ocx、Lcass.dll、Lcass.exe 從注冊表 刪除後又把systme2裡面的刪除拉 ,但是重啟後又會出現,,不借助工具 如何清除啊
這個病毒通過U盤自動播放感染,執行根目錄下的setup.pif,並在system32裡生成Lcass.exe.
如果結束Lcass.exe進程,5秒中內又會自動冒出來.好像直到今天rising才能查殺(我可是發現當天就報告給rising了,??效率啊……)
那天費了我半個小時才手工清除掉,貼出來分享一下:
編輯如下批處理文件,比如存為c:\1.bat(不會編的在網上搜一下,這裡不說了)
kill lcass.exe -f
regsvr32.exe /u /s ntsvc.ocx
pushd c:\windows\system32
attrib lcass.exe -h -s -r -a
del lcass.exe
attrib ntsvc.ocx -h -s -r -a
del ntsvc.ocx
pause
編好後存好,並加到注冊表自動運行項裡(HKLM\Software\Microsoft\Windows\CurrentVersion\Run 新建個字符串值,輸入 c:\1.bat 如不會加的在網上搜一下,這裡也不說了)
重啟就行了.注意看看CMD窗口的輸出結果,是不是刪除成功了,一般應該沒什麼問題的
注明一下批處理的幾個地方:
kill 是個結束系統進程的小工具,微軟出的,網上到處都能下;用其他類似功能的也可.必須存到c盤(即與批處理同一個目錄下)
ntsvc.ocx就是這個病毒注冊的插件(插入ie和/或explorer進程,監視lcass.exe是否在運行)必需把他反注冊才能刪除
c:\windows\system32 是系統目錄,按實際目錄更改,好像也能用類似$????$的,記不清了
希望不幸中毒的朋友能順利清除此病毒!
你可以用這個軟件到安全模式下去處理試試:
按殺毒軟件提供的路徑,記下來 (這種類型的病毒,殺軟查殺時一般會報Windows/system32/drivers文件夾下的一個****.sys文件是病毒文件的)
1.下載一個軟件:冰刃(http://www.ttian.net/website/2005/0829/391.html)
這是一個綠色軟件,下載解壓縮後即可使用。
2.在冰刃左側的欄裡通過“文件”直接定位到這個文件所在的文件夾下,找到這個文件。
3.通過按鈕“創建時間”對這個文件夾下的文件進行排序,仔細查看與這個文件在創建時間是同一天的所有文件(但是不是都是與它一樣是病毒文件,需要你判斷)。右擊它們一一刪除。用同樣的方法排查下system32文件夾,看看有沒有同名的.dll文件存在,有的話,一並刪除。
4.搜索注冊表裡這個文件的鍵值,刪除搜索到的--如果有的話。
5.重啟電腦,這個東西應該清除干淨了!!!!