什么是lsass.exe?
lsass.exe是一個(gè)系統(tǒng)進(jìn)程,用于微軟Windows系統(tǒng)的安全機(jī)制。它用于本地安全和登陸策略。注意:lsass.exe也有可能是 Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創(chuàng)建的,病毒通過(guò)軟盤(pán)、群發(fā)郵件和P2P文件共享進(jìn)行傳播
lsass.exe病毒的診斷
如果你的啟動(dòng)菜單(開(kāi)始-運(yùn)行-輸入“msconfig”)里有個(gè)lsass.exe啟動(dòng)項(xiàng),那就證明你的lsass.exe是木馬病毒,中毒后,在進(jìn)程里可以見(jiàn)到有兩個(gè)相同的進(jìn)程,分別是lsass.exe和LSASS.EXE,同時(shí)在windows下生成LSASS.EXE和exert.exe 兩個(gè)可執(zhí)行文件,且在后臺(tái)運(yùn)行,LSASS.EXE管理exe類執(zhí)行文件,exert.exe管理程序退出,還會(huì)在D盤(pán)根目錄下產(chǎn)生 command.com和 autorun.inf兩個(gè)文件,同時(shí)侵入注冊(cè)表破壞系統(tǒng)文件關(guān)聯(lián)。
lsass.exe病毒的清除
一、準(zhǔn)備工作
打開(kāi)“我的電腦”——工具——文件夾選項(xiàng)——查看
a、把“隱藏受保護(hù)的操作系統(tǒng)文件(推薦)”和“隱藏已知文件類型的擴(kuò)展名”前面的勾去掉;
b、勾中“顯示所有文件和文件夾”
二、結(jié)束進(jìn)程
1、用Ctrl+Alt+Del調(diào)出windows務(wù)管理器,想通過(guò)右擊當(dāng)前用戶名的lsass.exe來(lái)結(jié)束進(jìn)程是行不通的.會(huì)彈出該進(jìn)程為系統(tǒng)進(jìn)程無(wú)法結(jié)束的提醒框;
2、點(diǎn)到任務(wù)管理器進(jìn)程面版,點(diǎn)擊菜單,“查看”-“選擇列”,在彈出的對(duì)話框中選擇“PID(進(jìn)程標(biāo)識(shí)符)”,并點(diǎn)擊“確定”。找到映象名稱為 “LSASS.exe”,并且用戶名不是“SYSTEM”的一項(xiàng),記住其PID號(hào).點(diǎn)擊“開(kāi)始”——運(yùn)行,輸入“CMD”,點(diǎn)擊“確定”打開(kāi)命令行控制臺(tái)。
3、輸入“ntsd –c q -p (此紅色部分填寫(xiě)你在任務(wù)管理器里看到的LSASS.EXE的PID列的數(shù)字,是當(dāng)前用戶名進(jìn)程的PID,別看錯(cuò)了)”,比如我的計(jì)算機(jī)上就輸入“ntsd –c q -p 1064”.這樣進(jìn)程就結(jié)束了。
三、刪除病毒文件
刪除如下幾個(gè)文件:
C:\Program Files\Common Files\INTEXPLORE.pif (有的沒(méi)有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe (或者exeroute.exe)
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盤(pán)上點(diǎn)擊鼠標(biāo)右鍵,選擇“打開(kāi)”。刪除掉該分區(qū)根目錄下的“Autorun.inf”和“command.com”文件.
四、刪除注冊(cè)表中的其他垃圾信息
將C:\WINDOWS目錄下的“regedit.exe”改名為“regedit.com”并運(yùn)行,刪除以下項(xiàng)目:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項(xiàng)
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項(xiàng)
五、修復(fù)注冊(cè)表中被篡改的鍵值
1、將HKEY_CLASSES_ROOT\.exe的默認(rèn)值修改為 “exefile”(原來(lái)是windowsfile)
2、將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認(rèn)值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來(lái)是intexplore.com)
3、將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默認(rèn)值修改為“C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原來(lái)是INTEXPLORE.com)
4、將HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默認(rèn)值修改為“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來(lái)的值分別是INTEXPLORE.com和INTEXPLORE.pif)
5、將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認(rèn)值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” –nohome
6、將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默認(rèn)值修改為“IEXPLORE.EXE”.(原來(lái)是INTEXPLORE.pif)
六、關(guān)掉注冊(cè)表編輯器
將C:\WINDOWS目錄下的regedit.com改回regedit.exe,如果提示有重名文件存在,不能更改,可以先將重名的regedit.exe刪除,再將regedit.com改為regedit.exe。
看上面的清除lsass.exe病毒的方法來(lái)看,說(shuō)明中了lsass.exe病毒后清除lsass.exe病毒還是很復(fù)雜的,因此需要時(shí)時(shí)檢測(cè)自己的電腦是否中毒,若中毒,及時(shí)清除病毒以免受感染。
lsass.exe是一個(gè)系統(tǒng)進(jìn)程,用于微軟Windows系統(tǒng)的安全機(jī)制。它用于本地安全和登陸策略。注意:lsass.exe也有可能是 Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創(chuàng)建的,病毒通過(guò)軟盤(pán)、群發(fā)郵件和P2P文件共享進(jìn)行傳播
lsass.exe病毒的診斷
如果你的啟動(dòng)菜單(開(kāi)始-運(yùn)行-輸入“msconfig”)里有個(gè)lsass.exe啟動(dòng)項(xiàng),那就證明你的lsass.exe是木馬病毒,中毒后,在進(jìn)程里可以見(jiàn)到有兩個(gè)相同的進(jìn)程,分別是lsass.exe和LSASS.EXE,同時(shí)在windows下生成LSASS.EXE和exert.exe 兩個(gè)可執(zhí)行文件,且在后臺(tái)運(yùn)行,LSASS.EXE管理exe類執(zhí)行文件,exert.exe管理程序退出,還會(huì)在D盤(pán)根目錄下產(chǎn)生 command.com和 autorun.inf兩個(gè)文件,同時(shí)侵入注冊(cè)表破壞系統(tǒng)文件關(guān)聯(lián)。
lsass.exe病毒的清除
一、準(zhǔn)備工作
打開(kāi)“我的電腦”——工具——文件夾選項(xiàng)——查看
a、把“隱藏受保護(hù)的操作系統(tǒng)文件(推薦)”和“隱藏已知文件類型的擴(kuò)展名”前面的勾去掉;
b、勾中“顯示所有文件和文件夾”
二、結(jié)束進(jìn)程
1、用Ctrl+Alt+Del調(diào)出windows務(wù)管理器,想通過(guò)右擊當(dāng)前用戶名的lsass.exe來(lái)結(jié)束進(jìn)程是行不通的.會(huì)彈出該進(jìn)程為系統(tǒng)進(jìn)程無(wú)法結(jié)束的提醒框;
2、點(diǎn)到任務(wù)管理器進(jìn)程面版,點(diǎn)擊菜單,“查看”-“選擇列”,在彈出的對(duì)話框中選擇“PID(進(jìn)程標(biāo)識(shí)符)”,并點(diǎn)擊“確定”。找到映象名稱為 “LSASS.exe”,并且用戶名不是“SYSTEM”的一項(xiàng),記住其PID號(hào).點(diǎn)擊“開(kāi)始”——運(yùn)行,輸入“CMD”,點(diǎn)擊“確定”打開(kāi)命令行控制臺(tái)。
3、輸入“ntsd –c q -p (此紅色部分填寫(xiě)你在任務(wù)管理器里看到的LSASS.EXE的PID列的數(shù)字,是當(dāng)前用戶名進(jìn)程的PID,別看錯(cuò)了)”,比如我的計(jì)算機(jī)上就輸入“ntsd –c q -p 1064”.這樣進(jìn)程就結(jié)束了。
三、刪除病毒文件
刪除如下幾個(gè)文件:
C:\Program Files\Common Files\INTEXPLORE.pif (有的沒(méi)有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe (或者exeroute.exe)
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盤(pán)上點(diǎn)擊鼠標(biāo)右鍵,選擇“打開(kāi)”。刪除掉該分區(qū)根目錄下的“Autorun.inf”和“command.com”文件.
四、刪除注冊(cè)表中的其他垃圾信息
將C:\WINDOWS目錄下的“regedit.exe”改名為“regedit.com”并運(yùn)行,刪除以下項(xiàng)目:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項(xiàng)
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項(xiàng)
五、修復(fù)注冊(cè)表中被篡改的鍵值
1、將HKEY_CLASSES_ROOT\.exe的默認(rèn)值修改為 “exefile”(原來(lái)是windowsfile)
2、將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認(rèn)值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來(lái)是intexplore.com)
3、將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默認(rèn)值修改為“C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原來(lái)是INTEXPLORE.com)
4、將HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默認(rèn)值修改為“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來(lái)的值分別是INTEXPLORE.com和INTEXPLORE.pif)
5、將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認(rèn)值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” –nohome
6、將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默認(rèn)值修改為“IEXPLORE.EXE”.(原來(lái)是INTEXPLORE.pif)
六、關(guān)掉注冊(cè)表編輯器
將C:\WINDOWS目錄下的regedit.com改回regedit.exe,如果提示有重名文件存在,不能更改,可以先將重名的regedit.exe刪除,再將regedit.com改為regedit.exe。
看上面的清除lsass.exe病毒的方法來(lái)看,說(shuō)明中了lsass.exe病毒后清除lsass.exe病毒還是很復(fù)雜的,因此需要時(shí)時(shí)檢測(cè)自己的電腦是否中毒,若中毒,及時(shí)清除病毒以免受感染。
