關于LSASS.EXE的 _LSASS

【關于LSASS.EXE的】lsass.exe病毒木馬手工清除方法病毒癥狀進程里面有2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程為病毒).雙擊D:盤打不開,只能通過右擊選擇打開來打開.用kaspersky掃描可以掃描出來,并且可以殺掉.但是重啟后又有兩個lsass.exe進程.該病毒是一個木馬程序,中毒后會在D盤根目錄下產生command.com和autorun.inf兩個文件，同時侵入注冊表破壞系統文件關聯.該病毒修改注冊表啟動RUN鍵值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile鍵值，并新建windowfile鍵值.將exe文件打開鏈接關聯到其生成的病毒程序%SYSTEM\EXERT.exe上.該病毒新建如下文件：c:\program files\common files\INTEXPLORE.pifc:\program files\internet explorer\INTEXPLORE.com%SYSTEM\debug\debugprogram.exe%SYSTEM\system32\Anskya0.exe%SYSTEM\system32\dxdiag.com%SYSTEM\system32\MSCONFIG.com%SYSTEM\system32\regedit.com%SYSTEM\system32\LSASS.exe%SYSTEM\system32\EXERT.exe解決方法1.結束進程:調出windows務管理器(Ctrl+Alt+Del),發現通過簡單的右擊當前用戶名的lsass.exe來結束進程是行不通的.會彈出該進程為系統進程無法結束的提醒框;鼠標右鍵點擊"任務欄"，選擇"任務管理器" 。點擊菜單"查看(V)"－>"選擇列(S)..."，在彈出的對話框中選擇"PID（進程標識符）"，并點擊"確定" 。找到映象名稱為"LSASS.exe"，并且用戶名不是"SYSTEM"的一項，記住其PID號.點擊"開始"－》“運行”，輸入"CMD"，點擊"確定"打開命令行控制臺。輸入"ntsd –c q -p (PID)"，比如我的計算機上就輸入"ntsd –c q -p 1064".2.刪除病毒文件:以下要刪除的文件大多是隱藏文件所以要首先設置顯示所有的隱藏文件、系統文件并顯示文件擴展名;我的電腦-->工具(T)-->文件夾選項(O)...-->查看-->選擇"顯示所有文件和文件夾",并把隱藏受保護的操作系統文件(推薦)前的勾去掉,這時會彈出一個警告,選擇是.至此就顯示了所有的隱藏文件了.截圖如下:刪除如下幾個文件：C:\Program Files\Common Files\INTEXPLORE.pifC:\Program Files\Internet Explorer\INTEXPLORE.comC:\WINDOWS\EXERT.exeC:\WINDOWS\IO.SYS.BAKC:\WINDOWS\LSASS.exeC:\WINDOWS\Debug\DebugProgram.exeC:\WINDOWS\system32\dxdiag.comC:\WINDOWS\system32\MSCONFIG.COMC:\WINDOWS\system32\regedit.com在D:盤上點擊鼠標右鍵，選擇“打開” 。刪除掉該分區根目錄下的"Autorun.inf"和"command.com"文件.3.刪除注冊表中的其他垃圾信息.這個病毒該寫的注冊表位置相當多，如果不進行修復將會有一些系統功能發生異常。將Windows目錄下的"regedit.exe"改名為"regedit.com"并運行，刪除以下項目：HKEY_CLASSES_ROOT\WindowFilesHKEY_CURRENT_USER\Software\VB and VBA Program SettingsHKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations項HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pifHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP項將HKEY_CLASSES_ROOT\.exe的默認值修改為"exefile"(原來是windowsfile)將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1"(原來是intexplore.com)將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 的默認值修改為"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)將HKEY_CLASSES_ROOT \ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1"(原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)將HKEY_CLASSES_ROOT \htmlfile\shell\open\commandHKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默認值修改為"IEXPLORE.EXE".(原來是INTEXPLORE.pif)重新將Windows目錄下的regedit擴展名改回exe，至此病毒清除成功，注冊表修復完畢.Enjoy It .回答者：米蘭天地 - 進士出身八級 7-1 00:05修改答復：米蘭天地，您要修改的答復如下: 積分規則關閉lsass.exe病毒木馬手工清除方法病毒癥狀進程里面有2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程為病毒).雙擊D:盤打不開,只能通過右擊選擇打開來打開.用kaspersky掃描可以掃描出來,并且可以殺掉.但是重啟后又有兩個lsass.exe進程.該病毒是一個木馬程序,中毒后會在D盤根目錄下產生command.com和autorun.inf兩個文件，同時侵入注冊表破壞系統文件關聯.該病毒修改注冊表啟動RUN鍵值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile鍵值，并新建windowfile鍵值.將exe文件打開鏈接關聯到其生成的病毒程序%SYSTEM\EXERT.exe上.該病毒新建如下文件：c:\program files\common files\INTEXPLORE.pifc:\program files\internet explorer\INTEXPLORE.com%SYSTEM\debug\debugprogram.exe%SYSTEM\system32\Anskya0.exe%SYSTEM\system32\dxdiag.com%SYSTEM\system32\MSCONFIG.com%SYSTEM\system32\regedit.com%SYSTEM\system32\LSASS.exe%SYSTEM\system32\EXERT.exe解決方法1.結束進程:調出windows務管理器(Ctrl+Alt+Del),發現通過簡單的右擊當前用戶名的lsass.exe來結束進程是行不通的.會彈出該進程為系統進程無法結束的提醒框;鼠標右鍵點擊"任務欄"，選擇"任務管理器" 。點擊菜單"查看(V)"－>"選擇列(S)..."，在彈出的對話框中選擇"PID（進程標識符）"，并點擊"確定" 。找到映象名稱為"LSASS.exe"，并且用戶名不是"SYSTEM"的一項，記住其PID號.點擊"開始"－》“運行”，輸入"CMD"，點擊"確定"打開命令行控制臺。輸入"ntsd –c q -p (PID)"，比如我的計算機上就輸入"ntsd –c q -p 1064".2.刪除病毒文件:以下要刪除的文件大多是隱藏文件所以要首先設置顯示所有的隱藏文件、系統文件并顯示文件擴展名;我的電腦-->工具(T)-->文件夾選項(O)...-->查看-->選擇"顯示所有文件和文件夾",并把隱藏受保護的操作系統文件(推薦)前的勾去掉,這時會彈出一個警告,選擇是.至此就顯示了所有的隱藏文件了.截圖如下:刪除如下幾個文件：C:\Program Files\Common Files\INTEXPLORE.pifC:\Program Files\Internet Explorer\INTEXPLORE.comC:\WINDOWS\EXERT.exeC:\WINDOWS\IO.SYS.BAKC:\WINDOWS\LSASS.exeC:\WINDOWS\Debug\DebugProgram.exeC:\WINDOWS\system32\dxdiag.comC:\WINDOWS\system32\MSCONFIG.COMC:\WINDOWS\system32\regedit.com在D:盤上點擊鼠標右鍵，選擇“打開” 。刪除掉該分區根目錄下的"Autorun.inf"和"command.com"文件.3.刪除注冊表中的其他垃圾信息.這個病毒該寫的注冊表位置相當多，如果不進行修復將會有一些系統功能發生異常。將Windows目錄下的"regedit.exe"改名為"regedit.com"并運行，刪除以下項目：HKEY_CLASSES_ROOT\WindowFilesHKEY_CURRENT_USER\Software\VB and VBA Program SettingsHKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations項HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pifHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP項將HKEY_CLASSES_ROOT\.exe的默認值修改為"exefile"(原來是windowsfile)將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1"(原來是intexplore.com)將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 的默認值修改為"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)將HKEY_CLASSES_ROOT \ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1"(原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)將HKEY_CLASSES_ROOT \htmlfile\shell\open\commandHKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默認值修改為"IEXPLORE.EXE".(原來是INTEXPLORE.pif)

關于LSASS.EXE的

猜你喜歡