sna.exe是中了一个木马下载器（downloader.exe）后下载到系统目录system32中的。
sna.exe本身也是一个木马下载器。瑞星今天的病毒库还不报此downloader.exe和sna.exe，当然，也不报这个lsass.exe。

sna.exe运行后，通过80端口访问网络，下载木马。下载的木马主体程序为c:\WINDOWS\system32\wbem\lsass.exe。

特点：中了这个lsass.exe后，目前常用的日志扫描工具SREng、HijackThis v1.99.1、autoruns等均扫不到异常项目。
但SSM或IceSword的进程列表中可见lsass.exe进程（dll文件图标，路径为c:\WINDOWS\system32\wbem\lsass.exe；见图1）。

一、sna.exe下载的木马文件有：
c:\WINDOWS\system32\wbem\lsass.exe
c:\WINDOWS\system32\wbem\sholl32.dll
C:\WINDOWS\system32\ntworkstan.dll
C:\WINDOWS\system32\wnttech.dll
C:\WINDOWS\system32\advwhes.dll
C:\WINDOWS\system32\wmsnds32.dll

二、注册表改动：
（1）在HKEY_CLASSES_ROOT\CLSID\分支添加：
{C574040B-C11C-41EF-8401-E2AF6F5F6841}
（2）在HKEY_CLASSES_ROOT\TypeLib\分支添加：
{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}
（3）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加：
NTWorkStan
（4）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加：
wnttech
（5）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List分支添加：
"C:\\WINDOWS\\system32\\wbem\\lsass.exe"="C:\\WINDOWS\\system32\\wbem\\lsass.exe:*:Enabled:Generic Hosts for WinService"

三、杀毒流程：

1、、结束进程lsass.exe（路径c:\WINDOWS\system32\wbem\lsass.exe）
2、、清理注册表：

（1）展开：HKEY_CLASSES_ROOT\CLSID\
删除：{C574040B-C11C-41EF-8401-E2AF6F5F6841}
【注】删除此键时可供核对的信息：HKEY_CLASSES_ROOT\CLSID\{C574040B-C11C-41EF-8401-E2AF6F5F6841}\LocalServer32的默认值为：
@="c:\\WINDOWS\\system32\\wbem\\lsass.exe"


（2）展开：HKEY_CLASSES_ROOT\TypeLib\
删除：{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}
【注】删除此键时可供核对的信息：HKEY_CLASSES_ROOT\TypeLib\{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}\1.0\0\win32的默认值为：
@="c:\\WINDOWS\\system32\\wbem\\lsass.exe"


（3）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：NTWorkStan
【注】删除此键时可供核对的信息：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTWorkStan\Parameters的默认值为：
"ServiceDll"="C:\WINDOWS\system32\ntworkstan.dll"

（4）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：wnttech
【注】删除此键时可供核对的信息：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnttech\Parameters的默认值为：
"ServiceDll"="C:\WINDOWS\system32\wnttech.dll"


（5）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
删除："C:\\WINDOWS\\system32\\wbem\\lsass.exe"="C:\\WINDOWS\\system32\\wbem\\lsass.exe:*:Enabled:Generic Hosts for WinService"

图1

3、重启系统。显示隐藏文件。删除下列文件（见图2）。

图2

猫叔的东西,顶

佩服楼主

了解了.....

那要用什么办法查？除了ssm和冰刃？

引用:

【水树雨下的贴子】那要用什么办法查？除了ssm和冰刃？ ………………

比较辛苦。
结束那个lsass.exe进程后，C:\WINDOWS\system32\ntworkstan.dll和C:\WINDOWS\system32\wnttech.dll依然无法删除。我是根据文件名，在注册表中搜到的那些加载项和服务项。
这个木马比较另类。

引用:

【baohe的贴子】 比较辛苦。我是根据Tiny检测到的文件释放，在注册表中搜到的那些加载项和服务项。 这个木马比较另类。 ………………

猫叔能多写点关于tiny的帖子吗?

引用:

【拉风的高手的贴子】 猫叔能多写点关于tiny的帖子吗? ………………

Tiny的设置及用法灵活而复杂，要根据实际需要灵活调整。
我不愿意写这方面的东西，就是怕写了以后，反而给朋友们带来一系列的麻烦。
愿意用Tiny的——自己慢慢悟吧。

引用:

【baohe的贴子】 Tiny的设置及用法灵活而复杂，要根据实际需要灵活调整。 我不愿意写这方面的东西，就是怕写了以后，反而给朋友们带来一系列的麻烦。 愿意用Tiny的——自己慢慢悟吧。 ………………

哦,我刚把基本的设置弄好,感觉......很难.