解决方案
1、结束LSASS进程。因为该进程为系统进程(其实不是,只是伪装,但是操作系统本身不能识别),所以,无法在进程管理器中直接停止。我们只能够通过注册表,或者在DOS窗口中,利用NTSD命令强行停止。NTSD是从微软的2000以后的操作系统中自带的用户调试工具。被调试器附着的进程会随调试器的退出而一起退出。所以,可以同这个命令在命令行窗口下强行终止进程。但是,一般情况下,NTSD命令不能杀掉SYSTEM用户运行的进程。不过还好,LSASS病毒的LSASS进程是不是以SYSTEM用户运行的。从这里我们可以看出,在进程管理器中,其结束进程的话,有时候是按进程的名字来限制的;但是,利用NTSD命令的话,他考虑的是以什么身份进行运行的。故利用NTSD命令可以停止一些伪装系统进程运行的非法进程。利用这个命令,也可以禁止上面谈的CSRSS非法进程。当然,以SYSTEM运行的合法系统进程是结束不掉的。具体的命令为ntsd –c q –p 进程ID.通过进程管理器,可以查到非法进程的ID,就可以通过这个命令禁止掉了。
2、删除病毒文件。LSASS病毒会在其他盘下生成两个文件,分别为Autorun.inf与command.com文件。一般这两个文件的属性是隐藏的。所以,我们需要把文件的显示属性设置为“显示隐藏文件与系统文件”才会看到这个两个文件。找到他们,然后把他们删除。同时,在启动盘下,可能会有一些病毒文件,如EXERT.EXE等,我们也要把他们一一找出来,删除掉。不然的话,下次还是会中招。
3、修复注册表。这个病毒在注册表中会生成比较多的垃圾,所以,若是手工清除的话,一方面,不一定能够全部清除干净,另一方面,也可能一不小心,产生一些错误。此时,我们最好利用我们最近备份的注册表备份文件,直接进行恢复。
4、从网上下载专杀工具或者升级我们的杀毒软件,进行全面的查杀。
5、为了安全起见,需要提醒我们的员工,及时更改我们的帐户密码。因为用户 的密码很可能已经泄露出去。如果不及时把密码改过来的话,不法分子可以利用他们已经得到的用户名与密码,进行一些非法的勾当。
以上这两种进程都是盗号木马的工具。对于这些盗号木马进程,一般情况下,不会对系统运行造成什么影响。所以,相对来说,比较隐蔽。但是,其危害性,确实比其他病毒大的多。有些病毒只是恶作剧的性质,最多只是让操作系统崩溃或者造成网络拥塞。而企业的文件、帐户信息等不会泄露出去。所以,这些恶作剧的病毒危害性反而小一点。
所以,为了保障企业网络的安全,最好的办法还是部署企业级别的杀毒系统。如此的话,可以实现在用户不用干预的情况下,对杀毒软件进行及时的升级,防止病毒与木马入侵。
【责编:Zenghui】
相关文章
相关产品和培训
文章评论
专题推荐
今日更新 认证培训 频道精选
您现在的位置: 
2008-6-13
