最近公司的服务器中病毒了,病毒在各个文件夹下边创建了很多文件,比如_desktop.ini等,搞得文件乱七八糟的,同时系统中多了一个lsass进程,查看进程管理器的性能选项,可以看到虚拟内存的占用非常大,多达几个G。它通过感染系统中的lsass.exe进程,利用此进程对用户帐号进行访问,通过系统的进程管理器可以看到当前执行的lsass进程有两个,一个是用户名系统自己,另一个是以当前登陆账号名为用户名的进程,可以查看到此进程的页面错误飞速的增长,增长幅度为每秒钟几百个到一千个,时间越长肯定使虚拟内存占用量越来越大,如此高的页面错误速率证明此进程肯定是非法进程,是病毒无疑了,他利用lsass进程进行密码账号的破解。
找到问题在那里了,但是怎么解决呢。可以使用cmd的ntsd命令,此命令可以结束计算机中的任何进程包括系统进程。在进程管理其中,从察看选项种选择要察看的列,选了PID项,可以看到当前所有运行进程的PID。记录下病毒进程的PID,然后在cmd命令提示窗口中输入ntsd -c q -p PID,其中PID改为要结束的进程的PID,然后回车,该进程就被结束掉了。然后运行msconfig选项(windows2000不存在,只能手动更改注册表的run键),取消自启动进程lsass,然后再把注册表的run键下的相应项去掉。同时从网上寻找一下其他的清除信息,进行彻底的病毒查杀,然后重启计算机,如果不放心再查一下病毒。
浙公网安备 33010602011771号