[求助]LSASS.exe病毒无法结束进程-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
jerksson 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	jerksson 2 楼可能被隐藏了……进入CMD，然后进入lsass.exe所在目录下，输入attrib -h lsass.exe取消隐藏 2008-4-29 16:43 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 3 楼 attrib -h lsass.exe取消隐藏这招不管用吧！？做了钩子就看不出来了吧！？ 2008-4-29 18:13 0
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 4 楼可以用冰刃(除进程用和删除文件用)+Winrar(查看和删除文件用) 2008-4-29 20:41 0
wzy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	wzy 5 楼这是那个叫“磁碟机”的病毒吧，我也记不太清楚了，好像是这个名字。我以前遇到过。我记得它可以感染exe.它会改变注册表中“隐藏保护受保护的系统文件”的"checkbox"项,使你看不到一部分受保护的文件。此外，还在DOCUME AND SETTING \USER\STARTMENU\PROGRAM\STARTUP （就是开始菜单里的启动）创建一个文件，实现开机启动。但是，它也是被隐藏的。它还会没隔几秒扫描一下注册表，检查隐藏项“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]”的"Type"="checkbox"，将其改称“radio...”,将“"Text"="隐藏受保护的操作系统文件(推荐)"”改称别的什么完意的。最后，它在com\下还创了几个文件。 ----------- 至于处理，我当时就是，另外做个系统，进新系统，不要乱开程序，直接装杀毒软件，杀毒，就可以了。杀完毒后，再进老系统，把后做的系统删掉，就哦棵了。我当时就这么整的，省事儿， 2008-5-9 14:29 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 6 楼 wzy说的那种手工就清得掉了，用不着重装系统。如果用文件属性进行的文件隐藏，不管它怎么改注册表，用attrib就行了。但是那个病毒是HOOK NtQueryDirectoryFile进行文件隐藏的。还用HOOK隐藏了注册表里的RUN项。还有一出现安装窗口，复制窗口一律结束。资源管理器中一出现explorer.exe,cmd.exe,regedit.exe,msconfig.exe,taskmgt.exe一律破坏之。还会感染EXE文件。病毒做到这个份上，真是白痴啊。病毒就是要想方设法隐藏自己，如果这样的话，傻子都知道中招了。再你有多强的HOOK，能强过格硬盘重装系统吗？后来只有重格所有分区重装系统了。 2008-5-9 15:01 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 7 楼如果他侵入了你的bios呢 2008-5-9 15:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
jerksson 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	jerksson 2 楼可能被隐藏了……进入CMD，然后进入lsass.exe所在目录下，输入attrib -h lsass.exe取消隐藏 2008-4-29 16:43 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 3 楼 attrib -h lsass.exe取消隐藏这招不管用吧！？做了钩子就看不出来了吧！？ 2008-4-29 18:13 0
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 4 楼可以用冰刃(除进程用和删除文件用)+Winrar(查看和删除文件用) 2008-4-29 20:41 0
wzy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	wzy 5 楼这是那个叫“磁碟机”的病毒吧，我也记不太清楚了，好像是这个名字。我以前遇到过。我记得它可以感染exe.它会改变注册表中“隐藏保护受保护的系统文件”的"checkbox"项,使你看不到一部分受保护的文件。此外，还在DOCUME AND SETTING \USER\STARTMENU\PROGRAM\STARTUP （就是开始菜单里的启动）创建一个文件，实现开机启动。但是，它也是被隐藏的。它还会没隔几秒扫描一下注册表，检查隐藏项“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]”的"Type"="checkbox"，将其改称“radio...”,将“"Text"="隐藏受保护的操作系统文件(推荐)"”改称别的什么完意的。最后，它在com\下还创了几个文件。 ----------- 至于处理，我当时就是，另外做个系统，进新系统，不要乱开程序，直接装杀毒软件，杀毒，就可以了。杀完毒后，再进老系统，把后做的系统删掉，就哦棵了。我当时就这么整的，省事儿， 2008-5-9 14:29 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 6 楼 wzy说的那种手工就清得掉了，用不着重装系统。如果用文件属性进行的文件隐藏，不管它怎么改注册表，用attrib就行了。但是那个病毒是HOOK NtQueryDirectoryFile进行文件隐藏的。还用HOOK隐藏了注册表里的RUN项。还有一出现安装窗口，复制窗口一律结束。资源管理器中一出现explorer.exe,cmd.exe,regedit.exe,msconfig.exe,taskmgt.exe一律破坏之。还会感染EXE文件。病毒做到这个份上，真是白痴啊。病毒就是要想方设法隐藏自己，如果这样的话，傻子都知道中招了。再你有多强的HOOK，能强过格硬盘重装系统吗？后来只有重格所有分区重装系统了。 2008-5-9 15:01 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 7 楼如果他侵入了你的bios呢 2008-5-9 15:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复