HijackThis_815汉化版扫描日志 V1.99.1
保存于      3:28:35, 日期 2002-07-28
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\CA-Jinchen\KILL\InoRpc.exe
C:\Program Files\CA-Jinchen\KILL\InoRT.exe
C:\Program Files\CA-Jinchen\KILL\InoTask.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\internat.exe
C:\PROGRA~1\CA-JIN~1\KILL\realmon.exe
C:\WINDOWS\LSASS.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\cdzm\桌面\HijackThis扫描日志\HijackThis\HijackThis.exe

R3 - URLSearchHook: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - (no file)
R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O3 - IE工具栏增项: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
O4 - 启动项HKLM\\Run: [Realtime Monitor] C:\PROGRA~1\CA-JIN~1\KILL\realmon.exe
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CNSMIN.DLL,Rundll32
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [Intranet] C:\WINDOWS\intranet.exe
O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [Explore.exe] C:\WINDOWS\explore.exe
O4 - HKCU\..\Run: [Taskmor.exe] C:\WINDOWS\taskmor.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O11 - Options group: [!CNS]  网络实名
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CAA9114-DF5D-4445-8997-E24D11EE2693}: NameServer = 61.139.2.69,10.43.0.69
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: DHCPP (DHCP Clientt) - Unknown owner - C:\WINDOWS\lsasss.exe
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - NT 服务: FTSafe Net Rockey Service (FTSafeNetRockeyService4.0) - Unknown owner - D:\GLHR2002\Tools\Server\nrSvr.exe (file missing)
O23 - NT 服务: KILL RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA-Jinchen\KILL\InoRpc.exe
O23 - NT 服务: KILL Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA-Jinchen\KILL\InoRT.exe
O23 - NT 服务: KILL Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA-Jinchen\KILL\InoTask.exe
O23 - NT 服务: New work (New Coections) - Unknown owner - C:\WINDOWS\system\svchost.exe

O23 - NT 服务: New work (New Coections) - Unknown owner - C:\WINDOWS\system\svchost.exe
O23 - NT 服务: FTSafe Net Rockey Service (FTSafeNetRockeyService4.0) - Unknown owner - D:\GLHR2002\Tools\Server\nrSvr.exe (file missing)
O23 - NT 服务: DHCPP (DHCP Clientt) - Unknown owner - C:\WINDOWS\lsasss.exe灰鸽子！

lsass.exe病毒木马手工清除方法

病毒症状:

进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.

该病毒新建如下文件：

c:\program files\common files\INTEXPLORE.pif

c:\program files\internet explorer\INTEXPLORE.com

%SYSTEM\debug\debugprogram.exe

%SYSTEM\system32\Anskya0.exe

%SYSTEM\system32\dxdiag.com

%SYSTEM\system32\MSCONFIG.com

%SYSTEM\system32\regedit.com

%SYSTEM\system32\LSASS.exe

%SYSTEM\system32\EXERT.exe

解决方法:

1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064".

2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.

删除如下几个文件：

C:\Program Files\Common Files\INTEXPLORE.pif

C:\Program Files\Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目：

HKEY_CLASSES_ROOT\WindowFiles

HKEY_CURRENT_USER\Software\VB and VBA Program Settings

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

下面的 Check_Associations项

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

下面的ToP项

将HKEY_CLASSES_ROOT\.exe的默认值修改为

"exefile"(原来是windowsfile)

将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command

的默认值修改为

"C:\Program Files\Internet Explorer\iexplore.exe" %1"

(原来是intexplore.com)

将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}

\shell\OpenHomePage\Command 的默认值修改为

"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)

将HKEY_CLASSES_ROOT \ftp\shell\open\command

和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"

(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

将HKEY_CLASSES_ROOT \htmlfile\shell\open\command

HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为

"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”

将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)

重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕.Enjoy It .

关于lsass.exe病毒的查杀！

如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联，以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg  /restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！

天啦，好难哦~看的我头都大了，这个病毒是我同事中的，星期五那天他的电脑全启动不了了，后来技术部门又帮他弄好了，但那个灰鸽子就是杀不掉，谢谢建能，我打印下来了，交给他找人照着删。

对了，我用过他的U盘，我会不会中招啊

这个病毒应该不会通过U盘传播，你可以放心。

好帖子。。。~~

耶~这下我放心了！谢谢！

我同事说，这些高手怎么这么厉害，而且还这么热心，因为上星期五我们技术部门的人来都没搞定哦~

........这病毒有些麻烦 还是需要你们技术部的 让他参考着做..

是的，他也说找技术部门的来照着做，我和他是拿这个没办法的，只有干瞪着的份儿

照着做了，但还是没解决到，在电脑下面的条条里还是有个像灰鸽子的电脑图标。