中国投资网 百科 lsass.exe病毒清除方法及专杀工具

lsass.exe病毒清除方法及专杀工具

病毒症状

进程中有两个lsass.exe进程,一个是系统,一个是当前用户名(这个进程是病毒)。双击D:磁盘无法打开,只能右键选择打开才能打开。卡巴斯基扫描可以扫描并杀死它。但是重启后,有两个lsass.exe进程。这种病毒是特洛伊木马。中毒后会在D盘根目录下生成command.com和autoRUN.inf两个文件,同时入侵注册表破坏系统文件关联。该病毒修改注册表启动运行键值,指向LSASS.exe,修改。HKEY _类_根下的. exe和. exefile键值,并创建一个新的windowfile键值。exe文件打开链接会关联到其生成的病毒程序% SYSTEM \ impose . exe。

如果太麻烦,直接下载查杀工具。

Lsass.exe查杀工具下载

病毒会创建以下新文件:

C:\newtro文件夹

c:\ program files \ common files \ intexplore . pif

c:\ program files \ internet explorer \ Intel explorer . com

%SYSTEM\debug\debugprogram.exe

%SYSTEM\system32\Anskya0.exe

%SYSTEM\system32\dxdiag.com

%SYSTEM\system32\MSCONFIG.com

%SYSTEM\system32\regedit.com

%SYSTEM\system32\LSASS.exe

% SYSTEM \ system32 \ impose . exe

解决办法

1.结束进程:调出windows业务管理器(Ctrl Alt Del),发现仅仅通过右键单击当前用户名的lsass.exe来结束进程是不可行的。会弹出一个提醒框,提示该流程是系统流程,不能结束;右键单击“任务栏”并选择“任务管理器”。单击菜单“视图(V)”-“选择列.”。在弹出的对话框中选择“PID(进程标识符)”,然后单击“确定”。查找映像名称“LSASS.exe ”,并且用户名不是“SYSTEM”。记住它的PID号。单击“开始”-“运行”,输入“CMD”并单击“确定”打开命令行控制台。在我的电脑上输入“ntsd -c q -p (PID)”,如“ntsd -c q -p 1132”。

lsass.exe病毒清除方法及专杀工具

lsass.exe病毒清除方法及专杀工具

2.删除病毒文件:以下要删除的文件多为隐藏文件,所以你要先设置显示所有隐藏文件,系统文件,显示文件扩展名;我的电脑-工具(T)-文件夹选项(O).-查看-选择“显示所有文件和文件夹”,并在隐藏受保护的操作系统文件之前移除复选框(推荐)。这时会弹出一个警告,选择是。此时,所有隐藏的文件都会显示出来(友情提示:在您清除病毒后,请隐藏'

截图如下:

lsass.exe病毒清除方法及专杀工具

lsass.exe病毒清除方法及专杀工具

lsass.exe病毒清除方法及专杀工具

删除以下文件:

C:\NEWTRO文件夹

c:\ Program Files \ Common Files \ intexplore . pif

c:\ Program Files \ Internet Explorer \ Intel Explorer . com

c:\ WINDOWS \ impose . exe

C:\WINDOWS\IO。BAK系统

C:\WINDOWS\LSASS.exe

c:\ WINDOWS \ Debug \ Debug program . exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG。计算机输出缩微胶片

c:\ WINDOWS \ system32 \ regedit . com

d:在磁盘上点击鼠标右键,选择“打开”(直接双击打开会让病毒自动运行!)。删除该分区根目录中的“Autorun.inf”和“command.com”文件。

3.删除注册表中的其他垃圾信息。有相当多的注册表位置应该写这个病毒。如果不修复,部分系统功能会异常。

将Windows目录中的“regedit.exe”重命名为“regedit.com”并运行它。删除以下项目:

HKEY _类_根目录\窗口文件

HKEY _当前_用户\软件\VB和VBA程序设置

检查HKEY当前用户软件下的关联

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Clients \ StartMenuInternet \ in explore . pif

HKEY _本地_计算机\软件\ Microsoft \ windows \当前版本\运行下的顶部项目

修改HKEY类根的默认值。exe到exefile(原来是windowsfile)

将HKEY _类_根\应用程序\ iexplore.exe \外壳\打开\命令的默认值修改为

c:\ program files \ internet explorer \ ie xplore . exe“% 1”(最初为iexplore.exe)

Set HKEY _类_根\ clsid \ { 871 c 5380-42 A0-1069-a2ea-08002 b 30309d } \ shell \ open home page \ command

的默认值更改为“C:\ Program Files \ Internet Explorer \ ie xplore . exe”(原来是iexplore.exe)

设置HKEY类根\ FTP \ shell \ open \ command

和HKEY _类_根\ html file \ shell \ open new \ command。

被修改为“c:\ program files \ internet explorer \ ie xplore . exe”% 1!

(原始值为INTEXPLORE.pif和INTEXPLORE.pif)

添加HKEY _类_根\ shell文件\外壳\打开\命令和

HKEY _类_根\ http \ shell \ open \命令的默认值修改为

c:\ Program Files \ Internet Explorer \ ie xplore . exe 'nohome

设置HKEY本地机器软件客户端开始菜单互联网

的默认值被修改为INTEXPLORE.pif(原来是INTEXPLORE.pif)

将Windows目录中的regedit扩展名改回exe。到目前为止,病毒已被成功清除,注册表也已修复。好好享受吧。

(我按照一博哥的步骤做这一步的时候,发现系统自动生成了一个regedit.com,你删除regedit.com就可以了)

-

相关知识

过程文件:lsass或lsass.exe

进程名称:本地安全级别作者ityservice

描述:lsass.exe是一个关于微软安全机制的系统化过程,主要处理一些特殊的安全机制和登录策略。

由微软公司生产

属于:windows系统

流程:是

后台进程:是

使用网络:否

硬件相关:否

常见错误:未知

内存使用情况:未知

安全级别:0

间谍软件:否

广告软件:没有

病毒:没有。

木马:没有。

本文来自网络,不代表本站立场,转载请注明出处:https://www.news9.com.cn/n/a11535.html

lsass.exe病毒清除方法及专杀工具

中国投资网后续将为您提供丰富、全面的关于lsass.exe病毒清除方法及专杀工具内容,让您第一时间了解到关于lsass.exe病毒清除方法及专杀工具的热门信息。小编将持续从百度新闻、搜狗百科、微博热搜、知乎热门问答以及部分合作站点渠道收集和补充完善信息。