LSASS.exe系統進程病毒

LSASS.exe系統進程病毒

lsass.exe是一個系統進程,用於微軟Windows系統的安全機制。它用於本地安全和登入策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、 Randex.AR、Nimos.worm創建的,病毒通過軟碟、群發郵件和P2P檔案共享進行傳播。

病毒描述

英文描述: lsass.exeis a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. Note: lsass.exe also relates to the Windang.worm, irc.ratsou.b, Webus.B, MyDoom.L, Randex.AR, Nimos.worm which

中文描述: lsass.exe系統是微軟視窗過程中安全機制的積極作用。它詳細探討了當地安全而且登錄政策。注:lsass.exe關係著irc.ratsou.b,Webus,Windang.worm。B,MyDoom。L、Randex。應收帳款、Nimos.worm,

病毒信息

進程檔案: lsass orlsass.exe

進程名稱: Local Security Authority Service

進程類別:其他進程

出品者:Microsoft Corp.

屬於:Microsoft Windows Operating System

系統進程:Yes

後台程式:Yes

網路相關:Yes

常見錯誤:N/A

記憶體使用:N/A

病毒:No

LSASS.exe系統進程病毒 LSASS.exe系統進程病毒

發現清除

如果你的啟動選單里有個lsass.exe啟動項,那就證明你得lsass.exe木馬病毒,中毒後,會在windows里產生lsass.exe和exert.exe兩個病毒檔案,還會在D糟根目錄下產生command.com和autorun.inf兩個檔案,同時侵入註冊表破壞系統檔案關聯。在進程里可以見到有兩個相同的進程,分別是lsass.exet和LSASS.EXE.同時在windows下生成LSASS.EXE和exert.exe兩個執行檔,且在後台運行。LSASS.EXE管理exe類執行檔案, exert.exe管理程式退出。

下載個進程管理器,找出問題進程的路徑,手動終止LSASS.EXE和exert.exe兩個進程(管理器不能終止LSASS.EXE,提示系統進程不能終止),打開msconfig.exe取消LSASS.EXE啟動項。刪除C:\Documents and Settings\Administrator\Local Settings\tempt和Temporary Internet Files下的檔案,斷開網路後再刪除C:\Program Files\Common Files\update資料夾,這裡exe類檔案已不能運行,新建一個reg檔案,輸入如下內容:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]

@="exefile"  "Content Type"="%1,%*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]

@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

或用工具恢復註冊表。

打開IE屬性刪除cookies和所有脫機內容,啟動進程殺手終止lsass.exe和exert.exe兩個進程,然後到windows目錄下刪除這兩個檔案,這兩個檔案是隱藏的,再到D:刪除command.com和autorun.inf 兩個檔案,最後重啟電腦到DOS 運行,用scanreg/restore 命令來恢復註冊表,(如果不會的或者是XP系統不能用的可以用瑞星註冊表修復程式之類的軟體修復一下註冊表),重啟後進到WINDOWS桌面用防毒軟體(本人用金山毒霸2006)全面防毒,清除餘下的病毒!

清除方法

●打開“我的電腦”——工具——資料夾選項——查看

●把“隱藏受保護的作業系統檔案(推薦)”和“隱藏已知檔案類型的擴展名”前面的勾去掉;

●勾中“顯示所有檔案和資料夾”

●用Ctrl+Alt+Del調出windows務管理器,想通過右擊當前用戶名的LSASS.EXE(也有可能是小寫的lsass.exe,但是注意是當前用戶的)來結束進程是行不通的。會彈出該進程為系統進程無法結束的提醒框;點到任務管理器進程面版,點擊選單,“查看”-“選擇列”,在彈出的對話框中選擇“PID(進程標識符)”,並點擊“確定”。找到映象名稱為“LSASS.exe”,並且用戶名不是“SYSTEM”的一項,記住其PID號。點擊“開始”——運行,輸入“CMD”,點擊“確定”打開命令行控制台。

輸入“ntsd –c q -p (這裡填寫你在任務管理器里看到的LSASS.EXE的PID列的數字,是當前用戶名進程的PID,別看錯了)”,比如計算機上進程PID是2264,那就輸入“ntsd –c q -p 2264″。這樣進程就結束了。

▼如果結束了又會出現,那么用下面的方法

進程裡面有2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程為病毒)。

用EWIDO可以直接禁止結束掉的

●上面主要是把進程中止,接下來是刪除病毒檔案

需要刪除的檔案有這么一些:

C:/Program Files/Common Files/INTEXPLORE.pif (有的沒有。pif)

C:/Program Files/Internet Explorer/INTEXPLORE.com

C:/WINDOWS/EXERT.exe

C:/WINDOWS/IO.SYS.BAK

C:/WINDOWS/LSASS.exe

C:/WINDOWS/Debug/DebugProgram.exe

C:/WINDOWS/system32/dxdiag.com

C:/WINDOWS/system32/MSCONFIG.COM

C:/WINDOWS/system32/regedit.com

●做的徹底一些,刪除註冊表中的其他垃圾信息,這一步工作如果你裝有Free Window Registry Repair這樣的註冊表清理工具的話,那就不需要手動清除了,執行Free Window Registry Repair進行清理就可以了。下面是手動清除的需要刪除的項目:

1、HKEY_CLASSES_ROOT/WindowFiles

2、HKEY_CURRENT_USER/Software/VB and VBA Program Settings

3、HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main下面的 Check_Associations項

4、HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif

5、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下面的ToP項

●修復註冊表中被篡改的鍵值

①、將HKEY_CLASSES_ROOT/.exe的默認值修改為 ”exefile“(原來是windowsfile)

②、將HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command 的默認值修改為 ”C:/Program Files/Internet Explorer/iexplore.exe“ %1 (原來是intexplore.com)

③、將HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D} /shell/OpenHomePage/Command 的默認值修改為”C:/Program Files/Internet Explorer/IEXPLORE.EXE“(原來是INTEXPLORE.com)

④、將HKEY_CLASSES_ROOT /ftp/shell/open/command HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command的默認值修改為”C:/Program Files/Internet Explorer/iexplore.exe“ %1 (原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)

⑤、將HKEY_CLASSES_ROOT /htmlfile/shell/open/command 和HKEY_CLASSES_ROOT/HTTP/shell/open/command的默認值修改為”C:/Program Files/Internet Explorer/iexplore.exe“ –nohome

⑥、將HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet 的默認值修改為”IEXPLORE.EXE“。(原來是INTEXPLORE.pif)

相關詞條

相關搜尋

熱門詞條

聯絡我們