用户登陆
文章搜索
病毒diskcheck.exe和lsmgr.dll的分析与解决办法貌似同前段时间流行的mslissch32.dll一样,这次也只是个变种,表现也就是弹弹广告、利用移动存储来传播、鼠标左键双击盘符或右键单击盘符出现怪现象等等
释放文件
添加或修改注册表信息
解决过程:在整个处理过程中,不要双击盘符,否则可能会进入一个死循环
1、lsmgr.dll插入到系统进程中,使用killbox或unlocker来删除之
2、在进程中,如果存在explorer.exe或diskcheck.exe,终止掉它,注意搞清楚终止的是
C:\windows\system32\explorer.exe,而不是系统进程C:\windows\Explorer.exe
也可以使用procexp来更好的判断并终止相关进程
3、打开注册表编辑器,展开其添加的注册表信息所在位置,逐一删除
4、删除其释放的所有文件
PS:
日志中涉及到的所有工具在各大下载站里均有下载,也可以直接进入百度搜索下载地址
释放文件
Code:
C:\windows\system32\explorer.exe
C:\windows\system32\IESysIcon.ico
C:\windows\system32\lsmgr.dll
每个盘符下生成autorun.inf和diskcheck.exe
C:\windows\system32\IESysIcon.ico
C:\windows\system32\lsmgr.dll
每个盘符下生成autorun.inf和diskcheck.exe
添加或修改注册表信息
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
{EC564D32-0F1A-4367-8A9B-4A9F57688D03}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface]
{1CFFD533-46FE-4031-A3FF-5370943BA025}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib]
{3E704673-BE49-4C13-8E36-288326D14709}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes]
lsmgr.mssgr
lsmgr.mssgr.1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
{D1EDDE84-E67E-4ccd-B28E-73AD3B71A7C9}
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{EC564D32-0F1A-4367-8A9B-4A9F57688D03}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open\command]
"Default" = "%System%\explore.exe %1"
其中
"Default" = "%System%\explore.exe %1"
还可能在如下几个地方
[HKEY_CLASSES_ROOT\Drive\shell\open\command]
[HKEY_CLASSES_ROOT\Drive\shell\find\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command]
{EC564D32-0F1A-4367-8A9B-4A9F57688D03}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface]
{1CFFD533-46FE-4031-A3FF-5370943BA025}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib]
{3E704673-BE49-4C13-8E36-288326D14709}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes]
lsmgr.mssgr
lsmgr.mssgr.1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
{D1EDDE84-E67E-4ccd-B28E-73AD3B71A7C9}
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{EC564D32-0F1A-4367-8A9B-4A9F57688D03}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open\command]
"Default" = "%System%\explore.exe %1"
其中
"Default" = "%System%\explore.exe %1"
还可能在如下几个地方
[HKEY_CLASSES_ROOT\Drive\shell\open\command]
[HKEY_CLASSES_ROOT\Drive\shell\find\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command]
解决过程:在整个处理过程中,不要双击盘符,否则可能会进入一个死循环
1、lsmgr.dll插入到系统进程中,使用killbox或unlocker来删除之
2、在进程中,如果存在explorer.exe或diskcheck.exe,终止掉它,注意搞清楚终止的是
C:\windows\system32\explorer.exe,而不是系统进程C:\windows\Explorer.exe
也可以使用procexp来更好的判断并终止相关进程
3、打开注册表编辑器,展开其添加的注册表信息所在位置,逐一删除
4、删除其释放的所有文件
PS:
日志中涉及到的所有工具在各大下载站里均有下载,也可以直接进入百度搜索下载地址
引用通告地址 (0):
http://www.pxue.com/trackback.asp?tbID=786
http://www.pxue.com/trackback.asp?tbID=786&CP=GBK