什么是lsass.exe?
lsass.exe是一個系統進程,用于微軟Windows系統的安全機制。它用于本地安全和登陸策略。注意:lsass.exe也有可能是 Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創建的,病毒通過軟盤、群發郵件和P2P文件共享進行傳播
lsass.exe病毒的診斷
如果你的啟動菜單(開始-運行-輸入“msconfig”)里有個lsass.exe啟動項,那就證明你的lsass.exe是木馬病毒,中毒后,在進程里可以見到有兩個相同的進程,分別是lsass.exe和LSASS.EXE,同時在windows下生成LSASS.EXE和exert.exe 兩個可執行文件,且在后臺運行,LSASS.EXE管理exe類執行文件,exert.exe管理程序退出,還會在D盤根目錄下產生 command.com和 autorun.inf兩個文件,同時侵入注冊表破壞系統文件關聯。
lsass.exe病毒的清除
一、準備工作
打開“我的電腦”——工具——文件夾選項——查看
a、把“隱藏受保護的操作系統文件(推薦)”和“隱藏已知文件類型的擴展名”前面的勾去掉;
b、勾中“顯示所有文件和文件夾”
二、結束進程
1、用Ctrl+Alt+Del調出windows務管理器,想通過右擊當前用戶名的lsass.exe來結束進程是行不通的.會彈出該進程為系統進程無法結束的提醒框;
2、點到任務管理器進程面版,點擊菜單,“查看”-“選擇列”,在彈出的對話框中選擇“PID(進程標識符)”,并點擊“確定”。找到映象名稱為 “LSASS.exe”,并且用戶名不是“SYSTEM”的一項,記住其PID號.點擊“開始”——運行,輸入“CMD”,點擊“確定”打開命令行控制臺。
3、輸入“ntsd –c q -p (此紅色部分填寫你在任務管理器里看到的LSASS.EXE的PID列的數字,是當前用戶名進程的PID,別看錯了)”,比如我的計算機上就輸入“ntsd –c q -p 1064”.這樣進程就結束了。
三、刪除病毒文件
刪除如下幾個文件:
C:\Program Files\Common Files\INTEXPLORE.pif (有的沒有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe (或者exeroute.exe)
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盤上點擊鼠標右鍵,選擇“打開”。刪除掉該分區根目錄下的“Autorun.inf”和“command.com”文件.
四、刪除注冊表中的其他垃圾信息
將C:\WINDOWS目錄下的“regedit.exe”改名為“regedit.com”并運行,刪除以下項目:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項
五、修復注冊表中被篡改的鍵值
1、將HKEY_CLASSES_ROOT\.exe的默認值修改為 “exefile”(原來是windowsfile)
2、將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來是intexplore.com)
3、將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默認值修改為“C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原來是INTEXPLORE.com)
4、將HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默認值修改為“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)
5、將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” –nohome
6、將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默認值修改為“IEXPLORE.EXE”.(原來是INTEXPLORE.pif)
六、關掉注冊表編輯器
將C:\WINDOWS目錄下的regedit.com改回regedit.exe,如果提示有重名文件存在,不能更改,可以先將重名的regedit.exe刪除,再將regedit.com改為regedit.exe。
看上面的清除lsass.exe病毒的方法來看,說明中了lsass.exe病毒后清除lsass.exe病毒還是很復雜的,因此需要時時檢測自己的電腦是否中毒,若中毒,及時清除病毒以免受感染。
lsass.exe是一個系統進程,用于微軟Windows系統的安全機制。它用于本地安全和登陸策略。注意:lsass.exe也有可能是 Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創建的,病毒通過軟盤、群發郵件和P2P文件共享進行傳播
lsass.exe病毒的診斷
如果你的啟動菜單(開始-運行-輸入“msconfig”)里有個lsass.exe啟動項,那就證明你的lsass.exe是木馬病毒,中毒后,在進程里可以見到有兩個相同的進程,分別是lsass.exe和LSASS.EXE,同時在windows下生成LSASS.EXE和exert.exe 兩個可執行文件,且在后臺運行,LSASS.EXE管理exe類執行文件,exert.exe管理程序退出,還會在D盤根目錄下產生 command.com和 autorun.inf兩個文件,同時侵入注冊表破壞系統文件關聯。
lsass.exe病毒的清除
一、準備工作
打開“我的電腦”——工具——文件夾選項——查看
a、把“隱藏受保護的操作系統文件(推薦)”和“隱藏已知文件類型的擴展名”前面的勾去掉;
b、勾中“顯示所有文件和文件夾”
二、結束進程
1、用Ctrl+Alt+Del調出windows務管理器,想通過右擊當前用戶名的lsass.exe來結束進程是行不通的.會彈出該進程為系統進程無法結束的提醒框;
2、點到任務管理器進程面版,點擊菜單,“查看”-“選擇列”,在彈出的對話框中選擇“PID(進程標識符)”,并點擊“確定”。找到映象名稱為 “LSASS.exe”,并且用戶名不是“SYSTEM”的一項,記住其PID號.點擊“開始”——運行,輸入“CMD”,點擊“確定”打開命令行控制臺。
3、輸入“ntsd –c q -p (此紅色部分填寫你在任務管理器里看到的LSASS.EXE的PID列的數字,是當前用戶名進程的PID,別看錯了)”,比如我的計算機上就輸入“ntsd –c q -p 1064”.這樣進程就結束了。
三、刪除病毒文件
刪除如下幾個文件:
C:\Program Files\Common Files\INTEXPLORE.pif (有的沒有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe (或者exeroute.exe)
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盤上點擊鼠標右鍵,選擇“打開”。刪除掉該分區根目錄下的“Autorun.inf”和“command.com”文件.
四、刪除注冊表中的其他垃圾信息
將C:\WINDOWS目錄下的“regedit.exe”改名為“regedit.com”并運行,刪除以下項目:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項
五、修復注冊表中被篡改的鍵值
1、將HKEY_CLASSES_ROOT\.exe的默認值修改為 “exefile”(原來是windowsfile)
2、將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來是intexplore.com)
3、將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默認值修改為“C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原來是INTEXPLORE.com)
4、將HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默認值修改為“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)
5、將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” –nohome
6、將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默認值修改為“IEXPLORE.EXE”.(原來是INTEXPLORE.pif)
六、關掉注冊表編輯器
將C:\WINDOWS目錄下的regedit.com改回regedit.exe,如果提示有重名文件存在,不能更改,可以先將重名的regedit.exe刪除,再將regedit.com改為regedit.exe。
看上面的清除lsass.exe病毒的方法來看,說明中了lsass.exe病毒后清除lsass.exe病毒還是很復雜的,因此需要時時檢測自己的電腦是否中毒,若中毒,及時清除病毒以免受感染。
下一篇:Sxs.exe病毒處理方法
