Lsass.exe和smss.exe木马病毒（变身广告A）查杀

flyjmu

我是校园网用户，最近局域网内arp欺骗很严重，有不少人中招，而且中毒者的症状和严重程度各不相同，查杀时情况也有所不同，下面是我查杀Lsass.exe和smss.exe木马病毒时的过程和一些心得，希望对大家有所帮助，如有更好的方法请多指教。

   中毒程度基本可分为两种情况，暂且将其称为初级状态和高级状态吧。

一、初级状态
初级状态症状：
1、打开任意网页随机在其源代码内加入<script src=http://121.15.220.104/1.js></script>代码（或其他类似地址的代码），表现为或是在网页顶部出现一google广告，或是在网页右下角出现一类似QQ系统广告之类的东西，但是关闭不掉，点击也无其他反应。
2、打开任意网页下载东西时自动将下载的东西替换为setup.exe自解压程序，大小为80多K，下载来自121.15.220.104（或其他），关闭此下载重新点击，第二次下载的才是你要下载的正确文件
3、生成两个进程Lsass.exe和Smss.exe，与系统进程名字相同，只不过用户名不是system，而是你的用户名。
4、生成以下病毒文件
      C:\Windows\system32\Com\lsass.exe
      C:\Windows\system32\Com\smss.exe
      C:\Windows\system32\drivers\alg.exe
      C:\Windows\system32\Com\netcfg.dll
      X:\AUTORUN.INF
      X:\pagefile.pif
  “X”为你的所有盘符
5、可以查看一般隐藏文件，但是无法查看受保护的系统隐藏文件（在“工具—文件夹选项—查看”里看不到“隐藏受保护的操作系统文件”）
6、安全模式进不去
7、一些杀软或流氓清除工具可以查出有恶意广告插件，但是无法清除
8、由于病毒在每个盘符下都生成病毒文件，所以简单的重装系统基本没用
9、此病毒会感染其他盘下的部分exe文件（感染后的exe文件图标和感染前的图标略有不同，可以看出来），所以即使杀过之后也不要大意，运行感染后的文件时卡巴会提示。

初级状态查杀方法：
初级状态查杀比较容易，用两个工具即可：IceSword和PowerRmv

1、运行冰刃IceSword，结束假冒系统文件的病毒（Lsass.exe和smss.exe），注意，路径在C:\Windows\system32\Com\下
2、打开PowerRmv.exe，选上“清除并且抑制文件再次生成”，依次填入以下内容并开始：
     C:\Windows\system32\Com\lsass.exe
     C:\Windows\system32\Com\smss.exe
     C:\Windows\system32\drivers\alg.exe
     C:\Windows\system32\Com\netcfg.dll
     X:\AUTORUN.INF
     X:\pagefile.pif
   其中“X”为你的所有盘符
3、升级杀毒软件至最新病毒库全盘查杀。

二、高级状态症状：
高级状态也有两种程度不同的情况：
1、具备初级状态的所有症状，但此时IceSword.exe无法正常运行，一运行就自动退出。不管他，直接运行PowerRmv.exe，具体操作同上，将“开始—所有程序—启动”项里的无关项删掉，把msconfig里把无关启动项禁用，注销或重启后升级杀毒软件至最新病毒库全盘查杀。
2、具备初级状态的所有症状；
IceSword.exe无法正常运行；
用PowerRmv.exe删除C:\Windows\system32\Com\lsass.exe时系统自动重启；
另外还发现此高级状态时该木马还与360卫士有仇，或360卫士不能正常运行，或360卫士不能正常安装，或360卫士一安装就自动重启，更厉害的是一打开360卫士的网页，浏览器就自动关闭。
此时我只能提供一种思路供参考：将IceSword改为其他名字，将后缀.exe改为.com，
如果此时还是不行，那我就没办法了，似乎只有重装系统了（如果谁有更好的方法请多指教），但要注意的是重装系统前先用PowerRmv.exe将其他盘的病毒文件清除掉，不要进行其他的操作马上重装。

三、一点小建议：
1、无论是以上哪种情况，手动删除病毒文件后都升级杀毒软件至最新病毒库全盘查杀，因为可能还有其他的被感染的文件
2、如果你不是高手，最好不要裸奔上网，尽量装个强一点的杀毒软件
3、也不要过分依赖杀软，上网时小心仔细点，如下载东西时注意文件的大小和名字是否是你要下载的文件
4、最好在初装系统时给系统做个ghost，省的特殊情况下重装系统时浪费大量时间
5、此病毒好像比较忌讳360卫士，手动杀完毒后不妨再用360卫士扫描下（为什么360卫士不学下卡巴的自我保护功能，如此轻而易举的就被病毒破坏掉了）


以下是文中提到的各附件
****************************************************************************************
2007.12.18新增：
发现有的机子上尽管暂时将病毒杀掉了，但是还是有被感染的exe文件（兵刃也会被感染），运行后依然会再次中毒，360将此病毒命名为变身广告A，算是威金的一个变种，提供几个工具使用（其中威金熊猫通用终结器可修复被感染的exe文件），不妨全部使用一遍。
****************************************************************************************
2007.12.21补充：
强烈建议校园网用户装个arp防火墙，360的那个貌似没什么用，推荐“ARP防火墙单机版5.01”
华军有下载http://www.onlinedown.net/soft/52718.htm
安装后在“设置——其他”最下面选上允许修改主页可由试用版变为合作版，当然选不选看你自己了（主页是百度，不是流氓网页）。
****************************************************************************************
2008.01.09补充：
周围一直有人在中此病毒，在不断的查杀中发现一个比较好的方法，可避免在打开其他盘时又中招和杀掉某一进程或删除某一病毒文件时系统强制重启。那就是用Win PE。
相信很多朋友听说过这个东东，这是个虚拟系统，可在光盘里运行。很多系统盘，如雨林木风和番茄花园的系统盘里都集成了win pe，在启动时选择进入即可，可以在里面将病毒文件逐个杀掉，非常简单实用，因为winpe是在光盘里运行的，是不可写的，所以可放心操作而不用担心病毒会感染此系统。
遇到其他病毒同理，相信你会马上喜欢上winpe的。
****************************************************************************************
2008.01.15补充：目前为止最严重的
废话：本来以为此病毒的时代要过去了，谁知今天又有个同学中招了，而且是最新变种，能想到的方法都用了全都没用，除了全格。在winpe里删除后直接进不去系统，提示N秒后自动关机。而且刚装好的系统一会就又被感染了。最后终于找到一大侠的专杀工具，但还是直接用不了，用里面提到的方法也不行。不得不再次用到WinPE。
方法：进入到WINPE里面删除非系统盘下的病毒文件，重装系统（有ghost的话就很方便了），进入系统后再用欣子惠大侠的专杀工具lszs7.rar全盘查杀下，把被感染的文件全部删掉。工具的使用方法里面有很详细的说明。（非常感谢欣子惠大侠的专杀工具。欣子惠大侠博客：http://xzhsoft.blog.sohu.com/）

强烈推荐lszs7.rar ，如果此专杀可运行，其他步骤可省略