查看进程中是否有成双的lsass.exe和smss.exe进程,进入扰册cmd命令行格式下,定位到c盘的system32\com目录下,用attrib命令查看是否有netcfg.000,netctg.dll,smss.exe,lsass.exe和以000开头的.log文件,再定位到各盘符的根目录下面,缓链宏同样用attrib命令看下是否有pagefile.pif和autorun.inf文件,如果有上述的文件和进程特征,则系统已经被病毒感染。2.刻录一张可以进入纯dos的PE盘,进入纯dos状态,定位到步骤1中所提到的文件名,用attrib和del命令做混合删除,其中attrib命令用于更改上述文件的属性,把病毒文件唤敬的属性修改完后,用del命令做删除。现发一实例如下(假设发现并删除lsass.exe文件,上行讲解,下行演示)在dos下进入c:\windows\system32\com目录cd \windows\system32\com查看该目录下具有属性的文件attrib 清除lsass.exe文件的属性attrib -s –h c:\windows\system32\com\lsass.exe(注:一定要写绝对路径,相对路径删除不起作用)删除lsass.exe文件del c:\windows\system32\com\lsass.exe(注:同上)(注:如果是在server系统中,实例中的windows改为winnt)3.按照实例的方法删除第1步中所提到的文件。4.重新启动系统直接进入到PE状态,删除c:\documents and settings目录下的所有帐户的temp,templates和cookies文件夹,删除各用户下localsttings文件里的history,temp和temprary internet files文件夹。如发现ntuser.dat和ntuser文件也删除。清空浏览器中的文件,清空c:\windows目录下的temp和prefetch文件夹。5.重新启动系统进入正常模式,安装杀毒软件(目前McAfee已经可以查杀此病毒),并作全盘扫面以修复受感染的文件。6.系统恢复正常。
标签:exe,system32,com
