G.国王族官方论坛-广州游戏资讯网

标题: [分享]病毒diskcheck.exe和lsmgr.dll的分析与解决办法 [打印本页]

作者: Rico_Y 时间: 2007-2-2 14:41
标题: [分享]病毒diskcheck.exe和lsmgr.dll的分析与解决办法
貌似同前段时间流行的mslissch32.dll一样，这次也只是个变种，表现也就是弹弹广告、利用移动存储来传播、鼠标左键双击盘符或右键单击盘符出现怪现象等等释放文件 Code: C:\windows\system32\explorer.exe C:\windows\system32\IESysIcon.ico C:\windows\system32\lsmgr.dll 每个盘符下生成autorun.inf和diskcheck.exe 添加或修改注册表信息 Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID] {EC564D32-0F1A-4367-8A9B-4A9F57688D03} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface] {1CFFD533-46FE-4031-A3FF-5370943BA025} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib] {3E704673-BE49-4C13-8E36-288326D14709} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes] lsmgr.mssgr lsmgr.mssgr.1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] {D1EDDE84-E67E-4ccd-B28E-73AD3B71A7C9} [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {EC564D32-0F1A-4367-8A9B-4A9F57688D03} [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open\command] "Default" = "%System%\explore.exe %1" 其中 "Default" = "%System%\explore.exe %1" 还可能在如下几个地方 [HKEY_CLASSES_ROOT\Drive\shell\open\command] [HKEY_CLASSES_ROOT\Drive\shell\find\command] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command] 解决过程:在整个处理过程中，不要双击盘符，否则可能会进入一个死循环 1、lsmgr.dll插入到系统进程中，使用killbox或unlocker来删除之 2、在进程中，如果存在explorer.exe或diskcheck.exe，终止掉它，注意搞清楚终止的是 C:\windows\system32\explorer.exe，而不是系统进程C:\windows\Explorer.exe 也可以使用procexp来更好的判断并终止相关进程 3、打开注册表编辑器，展开其添加的注册表信息所在位置，逐一删除 4、删除其释放的所有文件

欢迎光临 G.国王族官方论坛-广州游戏资讯网 (http://bbs.gzgame.com.cn/)

G.国王族 官方论坛-广州游戏资讯网

G.国王族官方论坛-广州游戏资讯网