|
|
<B>Backdoor.Agobot.3.gen手工解决办法</B>中毒特征:
1.系统目录下出现lsas.exe文件,比如C:\WINNT\System32\lsas.exe
2.注册表启动项中出现如下信息:
O4 - HKLM\..\Run: [COM+ System Applications] lsas.exe
O4 - HKLM\..\RunServices: [COM+ System Applications] lsas.exe
3.控制面版---管理工具-----服务 里出现下列非正常服务:
服务名称:
COM+ System Applications
路径:
"C:\WINNT\System32\lsas.exe" -service
病毒行为简单分析:
首先它向WINNT/SYSTEM32下释放了一个自身拷贝,然后删除了当前目录下的自身文件
并同时向注册表写入了以下一些信息:
O4 - HKLM\..\Run: [COM+ System Applications] lsas.exe
O4 - HKLM\..\RunServices: [COM+ System Applications] lsas.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMS
DisplayName COM+ System Applications
ImagePath "C:\WINNT\System32\lsas.exe" -service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMS
DisplayName COM+ System Applications
ImagePath "C:\WINNT\System32\lsas.exe" -service
在设置为自启动的同时将自己注册成为了系统服务(控制面版---管理工具-----服务),
服务名称为:
COM+ System Applications
路径为:
"C:\WINNT\System32\lsas.exe" -service
第一次双击执行lsas.exe后并没有立即出现在进程列表里,而是等到主机重起后才执行C:\WINNT\System32\lsas.exe
由于其注册为了系统服务,所以会出现即使清理了以下两处启动键值重起后仍无法删除文件的提示
O4 - HKLM\..\Run: [COM+ System Applications] lsas.exe
O4 - HKLM\..\RunServices: [COM+ System Applications] lsas.exe
所以除了在用HIJACKTHIS清理以上两处键值以外,还需要将它所注册的服务删除,这样重起才会可以删除C:\WINNT\System32\lsas.exe文件,从而解决问题
手工清理步骤:
1.启动到正常模式下利用hijackthis修复以下两处键值
O4 - HKLM\..\Run: [COM+ System Applications] lsas.exe
O4 - HKLM\..\RunServices: [COM+ System Applications] lsas.exe
2.随后下载以下增加删除系统服务的程序(http://www.sometips.com/soft/srvinstw.exe),执行后点“REMOVE A SERVICE”---“下一步”-----“LOCAL MACHINE”----“下一步”-----在“SERVICE NAME”列表里选中“COM+ System Applications”项-------“下一步”然后点“完成”即可实现删除该服务
3.然后重起机器进入安全模式删除C:\WINNT\System32\lsas.exe文件即可(无法进入安全模式的可以尝试在正常模式下删除)
4.如果一切操作步骤正常的话,该恶意程序就将从系统中被清除~~ |
|
天台之窗订阅号
天台之窗服务号
IP卡
狗仔卡
发表于 2004-8-26 20:17
>可以查出Backdoor.Agobot.3.gen病毒来可怎么也杀不掉呀!!!</P>
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
