我点任何一个应用程序 该病毒立即在桌面上创建一样的图标包含ico图标

Posted 2023-04-21

该病毒 疯狂一米 我点杀毒软件他竟然也照样创建一个.
晕的一米.
谁给解决一下
该病毒直接导致我的一些QQ 等等 应用程序无法运行
.net 平台上的软件还可以运行.其他都晕!

那个人才帮我解决一下!
重装系统这种回答就不回答了,呆子都知道 给点建设性的回答
特征:
病毒创建的应用程序后缀名会有一个"~ " 晕吧
我以前见到过
可现在他怎么如此疯狂呢?

病毒已经把杀毒软件的应用程序修改过了

右击任务栏→资源管理器→进程，找到你认为可能是病毒的进程，然后右击→结束进程树。然后你应该就可以正常使用杀毒软件了，然后把系统全杀毒一遍。

以下是操作系统进程，结束进程时可以对照一下。
system process
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描述: Windows页面内存管理进程，拥有0级优先。
是否为系统进程: 是
alg.exe
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描述: 这是一个应用层网关服务用于网络共享。
是否为系统进程: 是

csrss.exe
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描述: 客户端服务子系统，用以控制Windows图形相关子系统。
是否为系统进程: 是

ddhelp.exe
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
是否为系统进程: 是

dllhost.exe
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
是否为系统进程: 是

inetinfo.exe
进程文件: inetinfo or inetinfo.exe
进程名称: IIS Admin Service Helper
描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。
是否为系统进程: 是

internat.exe
进程文件: internat or internat.exe
进程名称: Input Locales
描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
是否为系统进程: 是

kernel32.dll
进程文件: kernel32 or kernel32.dll
进程名称: Windows壳进程
描述: Windows壳进程用于管理多线程、内存和资源。
是否为系统进程: 是

lsass.exe
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描述: 这个本地安全权限服务控制Windows安全机制。
是否为系统进程: 是

mdm.exe
进程文件: mdm or mdm.exe
进程名称: Machine Debug Manager
描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
是否为系统进程: 是

mmtask.tsk
进程文件: mmtask or mmtask.tsk
进程名称: 多媒体支持进程
描述: 这个Windows多媒体后台程序控制多媒体服务，例如MIDI。
是否为系统进程: 是

mprexe.exe
进程文件: mprexe or mprexe.exe
进程名称: Windows路由进程
描述: Windows路由进程包括向适当的网络部分发出网络请求。
是否为系统进程: 是

msgsrv32.exe
进程文件: msgsrv32 or msgsrv32.exe
进程名称: Windows信使服务
描述: Windows信使服务调用Windows驱动和程序管理在启动。
是否为系统进程: 是

mstask.exe
进程文件: mstask or mstask.exe
进程名称: Windows计划任务
描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
是否为系统进程: 是

regsvc.exe
进程文件: regsvc or regsvc.exe
进程名称: 远程注册表服务
描述: 远程注册表服务用于访问在远程计算机的注册表。
是否为系统进程: 是

rpcss.exe
进程文件: rpcss or rpcss.exe
进程名称: RPC Portmapper
描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
是否为系统进程: 是

services.exe
进程文件: services or services.exe
进程名称: Windows Service Controller
描述: 管理Windows服务。
是否为系统进程: 是

smss.exe
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。
是否为系统进程: 是

snmp.exe
进程文件: snmp or snmp.exe
进程名称: Microsoft SNMP Agent
描述: Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。
是否为系统进程: 是

spool32.exe
进程文件: spool32 or spool32.exe
进程名称: Printer Spooler
描述: Windows打印任务控制程序，用以打印机就绪。
是否为系统进程: 是

spoolsv.exe
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描述: Windows打印任务控制程序，用以打印机就绪。
是否为系统进程: 是

stisvc.exe
进程文件: stisvc or stisvc.exe
进程名称: Still Image Service
描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。
是否为系统进程: 是

svchost.exe
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描述: Service Host Process是一个标准的动态连接库主机处理服务。
是否为系统进程: 是

system
进程文件: system or system
进程名称: Windows System Process
描述: Microsoft Windows系统进程。
是否为系统进程: 是

taskmon.exe
进程文件: taskmon or taskmon.exe
进程名称: Windows Task Optimizer
描述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。
是否为系统进程: 是

tcpsvcs.exe
进程文件: tcpsvcs or tcpsvcs.exe
进程名称: TCP/IP Services
描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。
是否为系统进程: 是

winlogon.exe
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描述: Windows NT用户登陆程序。
是否为系统进程: 是

winmgmt.exe
进程文件: winmgmt or winmgmt.exe
进程名称: Windows Management Service
描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来自应用客户端的请求。
是否为系统进程: 是 参考技术A 考虑是木马病毒入侵所至，用“木马杀客”试试吧，下载地址
http://www.sz1001.net/soft/9605.htm
是可以升级的免费版，非常好用！

“木马杀客 V5.31 绿色版(0808病毒库)”下载介绍:

5.3增进功能列表：
1.软件启动慢问题
2.增加软件皮肤(增加几十种软件皮肤)
3.增加计划任务(定时扫描\定时关机)
4.增加文件系统监控
5.增加USB监控
6.优化在线升级程式
7.完善右键扫描(不算完美)
8.优化内核，提高扫描硬盘的速度
9.加强对流行的流氓软件的查杀功能
10.增加对间谍软件的查杀功能
11.加强木马杀客版本的稳定性
12.加强对注册表的监控
13.增加注册表修复功能(一键修复注册表\IE及弹窗广告)
14.增加进程高级管理功能
15.增加声音控制
16.增加皮肤包
呵呵,功能还不少拉!!!!!!!!!!!!!!!!
木马杀客是原创的反木马工具，软件采用杀毒引擎辨别特征码和传统病毒库辨别。软件可查杀密码偷窃类木马、QQ尾巴类木马、冰河类木马、网游盗号类木马、完全查杀灰鸽子类木马、及各种未知木马、病毒、蠕虫、后门、黑客程序等。木马内置内存监控及注册表监控功能，木马感染内存及修改注册表启动等都将被监控查杀。软件支持在线升级。
其他功能：网络连接状态、启动项目查看及管理、内存监控、软件卸载、注册表备份及修复、右键扫描、灰鸽子专杀。版本不断更新中......

5.31主要修复5.3以下问题：安装程序，在线升级，WIN98下出错，随机启动及其他一些已知BUG 参考技术B 我给你提供一个比较简单易行的方法:1.重启系统,按f8,点击"最后一次正确的配置"
2.重启,再按f8,进入安全模式,在里面一般来说,病毒不会发挥它的破坏性,用杀毒软件杀毒(杀毒软件一定要是最新的呦)
3.都不行,就进行系统还原
这些方法可以试试,成功的可能性很高的 参考技术C C盘不要放很多东西，杀毒不如装系统快，而且不如装系统干净本回答被提问者采纳 参考技术D 是在不行就重新安装吧，病毒一般很难彻底清除的。

lsass 病毒手动清除方法

病毒症状
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM/EXERT.exe上.

该病毒新建如下文件:

c:/newtro文件夹
c:/program files/common files/INTEXPLORE.pif
c:/program files/internet explorer/INTEXPLORE.com
%SYSTEM/debug/debugprogram.exe
%SYSTEM/system32/Anskya0.exe
%SYSTEM/system32/dxdiag.com
%SYSTEM/system32/MSCONFIG.com
%SYSTEM/system32/regedit.com
%SYSTEM/system32/LSASS.exe
%SYSTEM/system32/EXERT.exe

解决方法

1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"-->“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1132".

2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了(友情提示:待你把病毒清除后,请把"隐藏受保护的操作系统文件"打上钩,要不然以后很容易误删东西哦).
截图如下:

删除如下几个文件：

C:/NEWTRO文件夹
C:/Program Files/Common Files/INTEXPLORE.pif
C:/Program Files/Internet Explorer/INTEXPLORE.com
C:/WINDOWS/EXERT.exe
C:/WINDOWS/IO.SYS.BAK
C:/WINDOWS/LSASS.exe
C:/WINDOWS/Debug/DebugProgram.exe
C:/WINDOWS/system32/dxdiag.com
C:/WINDOWS/system32/MSCONFIG.COM
C:/WINDOWS/system32/regedit.com

在D:盘上点击鼠标右键，选择“打开”(直接双击打开会使病毒自动运行!)。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目:
HKEY_CLASSES_ROOT/WindowFiles
HKEY_CURRENT_USER/Software/VB and VBA Program Settings
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main下面的 Check_Associations项
HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下面的ToP项

将HKEY_CLASSES_ROOT/.exe的默认值修改为exefile(原来是windowsfile)

将HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command的默认值修改为
"C:/Program Files/Internet Explorer/iexplore.exe" %1(原来是intexplore.com)

将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command
的默认值修改为"C:/Program Files/Internet Explorer/IEXPLORE.EXE"(原来是INTEXPLORE.com)

将HKEY_CLASSES_ROOT /ftp/shell/open/command
和HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command
的默认值修改为"C:/Program Files/Internet Explorer/iexplore.exe" %1
(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

将HKEY_CLASSES_ROOT /htmlfile/shell/open/command 和
HKEY_CLASSES_ROOT/HTTP/shell/open/command的默认值修改为
"C:/Program Files/Internet Explorer/iexplore.exe" –nohome

将HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet
的默认值修改为IEXPLORE.EXE.(原来是INTEXPLORE.pif)

重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕.Enjoy It .

 

转自 ： https://blog.csdn.net/lykycs/article/details/802810