pewsteal.lemir.gen木马病毒?

xiangcun 2004-11-01 10:05:58
感染c:\winnt\lsas.bmp
采用的操作:清除 失败 隔离 失败 拒绝访问

我用的是诺顿。
发现很多这样的消息
该.bmp文件不能删除,看了网上的方法,又找不到它们列举的要删除文件,注册表里也没有对应的键值,这是不是木马啊?改怎么办那?
...全文
174 7 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
7 条回复
切换为时间正序
请发表友善的回复…
发表回复
Davelu 2004-11-02
  • 打赏
  • 举报
回复
我也在找办法,先暂时清除吧。
adingzhang 2004-11-02
  • 打赏
  • 举报
回复
to Davelu(豆腐)
"但这个是一个后门木马,在注册表里还有,会自动上网站下载lsass.bmp,所以过段时间又会出现了。"

如何才能彻底清除啊???
Davelu 2004-11-01
  • 打赏
  • 举报
回复
luckhj(/* 短期目标弄清GPRS */)和qiang312(小强)都是网上搜的,并不能解决这个病毒的。

我们公司也有这样的病毒,我试过,方法目前只有我说的办法。
qiang312 2004-11-01
  • 打赏
  • 举报
回复
http://www.57sf.com/10_mirtec/News200403050289.htm
luckhj 2004-11-01
  • 打赏
  • 举报
回复
由此此木马会将自己注册为系统 Explorer 组件,即使删除后也会自动生成,所以一般的杀毒软件较难直接清除掉它,但费尔托斯特安全可以完全彻底清除掉此木马,并且删除后不会再次出现,所以如果手上有费尔托斯特安全的正式版可以使用它删除(建议先升级到最新版的病毒库)。如果没有也可以用下面的方法手工清除它(注意以下方法测试于Windows2000/XP/2003/NT,9x/me下可能有些略有不同,这时建议使用费尔托斯特安全清除):

一、请先去把系统设置为“显示隐藏文件”,因为病毒以隐藏属性伪装,不做此设置将无法看到它,设置的方法如下(如果系统已经做了此设置可以跳过这一步):

打开“我的电脑”;
依次打开菜单“工具/文件夹选项”;
然后在弹出的“文件夹选项”对话框中切换到“查看”页;
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态;
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项;
去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;
最后点击“确定”。

二、按“Ctrl+Alt+Del”键弹出任务管理器,找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步,只所以要迅速是因为如果动作慢的话,木马可能会自动恢复而再次运行起来,这样就无法删除掉其他木马文件了(如果EXPL0RER.EXE进程再次运行起来需要重做这一步);

三、打开资源管理器进入到 “系统目录\Winnt\System32”下(如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32)。找到EXPL0RER.EXE文件(注意第5个字母是数字0不是字母O)、SysModule32.dll文件,然后直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了,需要从第二步开始重复做,并且从第二步到第三步一定要迅速,这里建议可以先打开资源管理器选中这几个待删除的文件,在做第二步即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件,这样一般就可以成功了;

四、同样在 “系统目录\Winnt\System32”目录下找到 SysModule64.dll 文件,尝试删除它,不过如果这时报告“此文件正在使用中无法删除”等类似提示也没有关系,稍后在第七步将介绍如何删除此文件;

五、打开资源管理器进入到 “系统目录\Winnt”下,找到一个 MFCD3O.DLL 文件,手工删除它;

六、打开“开始/运行”,输入“regedit”后“确定”以打开注册表编辑器,找到“HKEY_CLASSES_ROOT\CLSID\”键,把整个“”键全部删除。

七、注销当前用户或重新登录或重启电脑。之后再按第四步的方法删除掉 SysModule64.dll 文件,如果一切正常此时应该可以删除掉它了。

至此,如果一切顺利 PWSteal.Lemir.Gen 木马就应该完全从您系统中清除干净了。
Davelu 2004-11-01
  • 打赏
  • 举报
回复
还有种说法是升级病毒库,在安全模式下能杀掉,可以试试。
Davelu 2004-11-01
  • 打赏
  • 举报
回复
我也在找这种方法。
目前解决的方法是到进程里,把csrss.exe停掉。注意,这里会有两个csrss.exe,一个是系统停不掉的,另一个可以停掉。
这时NORTON就能把lsass.bmp删除了。

但这个是一个后门木马,在注册表里还有,会自动上网站下载lsass.bmp,所以过段时间又会出现了。

9,513

社区成员

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧