lsass之惑

上周因为笔记本电脑突然出问题了，只能重装windows xp。

 

由于当时手头的软件资源有限，所以在安装完windows xp后，临时从网上下了windows xp sp2后所有的补丁合计、7zip、ultraedit等软件，安装完成后，突然发现在开始菜单的启动项里竟然有一个lsass.exe！

 

我电脑里已经安装了正版的大企业版mcafee防毒软件，竟然没提示我任何病毒信息！

 

google一下lsass.exe，说是一个木马病毒，中毒症状如下：

病毒症状
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.

该病毒新建如下文件:

c:\newtro文件夹
c:\program files\common files\INTEXPLORE.pif
c:\program files\internet explorer\INTEXPLORE.com
%SYSTEM\debug\debugprogram.exe
%SYSTEM\system32\Anskya0.exe
%SYSTEM\system32\dxdiag.com
%SYSTEM\system32\MSCONFIG.com
%SYSTEM\system32\regedit.com
%SYSTEM\system32\LSASS.exe
%SYSTEM\system32\EXERT.exe
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

 

不过，查了一下我的notebook，除了多了一个lsass.exe线程，并没有其它的病毒症状。

 

ok，手动强行终止这个线程，但是失败了！

 

看来只能先通过任务管理器找到这个线程的pid，然后使用下面的命令来终止该线程：

ntsd �Cc q -p <线程pid>

 

然后删掉启动菜单里的lsass.exe。

 

本以为这样就彻底移除了此病毒，但几天后发现该病毒又出现了！

 

经分析，刚才插入了移动硬盘，所以怀疑病毒利用windows的autorun功能寄生在移动硬盘内，插入移动硬盘内就会autorun起病毒exe文件。

 

于是我重新插上移动硬盘，但发现移动硬盘根目录下无任何文件，打开“我的电脑”，点击菜单“工具\文件夹选项”功能中“查看”页，去掉“隐藏受保护的系统选项”，并将“隐藏文件和文件夹”从“不显示”改为“显示所有文件和文件夹”，应用到所有文件夹后点确定后退出，ok，可以看到根目录下确实有隐藏的autorun.inf文件！打开autorun.inf文件，果然，autorun.inf中直接运行了一个隐藏目录system volumn中的lsass.exe！进入system_volume这个隐藏目录，竟然发现没有任何目录和文件，很奇怪！再次进入菜单“工具\文件夹选项”功能中“查看”页，发现之前所做的设置更改又恢复成默认值了，看来这个运行中的病毒lsass.exe还会监控注册表中的这个设置，一旦发现用户更改了显示所有文件和文件的设置，会自动改为隐藏文件和文件夹！

 

看来这个lsass还是很变态的！

 

现在，除此毒的步骤明确了：

1、通过ntsd命令强行终止线程；

2、删除启动菜单中的lsass.exe；

3、点击“我的电脑”的菜单“工具\文件夹选项”功能中“查看”页，去掉“隐藏受保护的系统选项”，并将“隐藏文件和文件夹”从“不显示”改为“显示所有文件和文件夹”，应用到所有文件夹后点确定后退出；

4、到C、D以及所有其它盘内，如发现有autorun.inf，先删除掉autorun.inf内指向的lsass文件以及相关目录，然后彻底删除autorun.inf；

5、最后，一个建议，去掉windows xp的自动播放功能，在“开始菜单”的“运行”中运行gpedit.msc，运行后在其“计算机配置\管理模版\系统”中找到“关闭自动播放”项，双击，将选项改为“已启用”，并将关闭对象改为“所有驱动器”，在“用户配置\管理模版\系统”也必须进行同样的设置（这步也很重要，之前我只改计算机配置中的设置，发现没有生效），双击，将选项改为“已启用”， 后确定退出！

 

 

BTW，也许我中的这个lsass.exe只是一个伪装成lsass的、恶劣的流氓广告软件，希望如此！否则恐怕我电脑里的资料有外泄之忧了。