病毒症状
进程中有两个lsass.exe进程,一个是系统,一个是当前用户名(这个进程是病毒)。双击D:磁盘无法打开,只能右键选择打开才能打开。卡巴斯基扫描可以扫描并杀死它。但是重启后,有两个lsass.exe进程。这种病毒是特洛伊木马。中毒后会在D盘根目录下生成command.com和autoRUN.inf两个文件,同时入侵注册表破坏系统文件关联。该病毒修改注册表启动运行键值,指向LSASS.exe,修改。HKEY _类_根下的. exe和. exefile键值,并创建一个新的windowfile键值。exe文件打开链接会关联到其生成的病毒程序% SYSTEM \ impose . exe。
如果太麻烦,直接下载查杀工具。
Lsass.exe查杀工具下载
病毒会创建以下新文件:
C:\newtro文件夹
c:\ program files \ common files \ intexplore . pif
c:\ program files \ internet explorer \ Intel explorer . com
%SYSTEM\debug\debugprogram.exe
%SYSTEM\system32\Anskya0.exe
%SYSTEM\system32\dxdiag.com
%SYSTEM\system32\MSCONFIG.com
%SYSTEM\system32\regedit.com
%SYSTEM\system32\LSASS.exe
% SYSTEM \ system32 \ impose . exe
解决办法
1.结束进程:调出windows业务管理器(Ctrl Alt Del),发现仅仅通过右键单击当前用户名的lsass.exe来结束进程是不可行的。会弹出一个提醒框,提示该流程是系统流程,不能结束;右键单击“任务栏”并选择“任务管理器”。单击菜单“视图(V)”-“选择列.”。在弹出的对话框中选择“PID(进程标识符)”,然后单击“确定”。查找映像名称“LSASS.exe ”,并且用户名不是“SYSTEM”。记住它的PID号。单击“开始”-“运行”,输入“CMD”并单击“确定”打开命令行控制台。在我的电脑上输入“ntsd -c q -p (PID)”,如“ntsd -c q -p 1132”。
2.删除病毒文件:以下要删除的文件多为隐藏文件,所以你要先设置显示所有隐藏文件,系统文件,显示文件扩展名;我的电脑-工具(T)-文件夹选项(O).-查看-选择“显示所有文件和文件夹”,并在隐藏受保护的操作系统文件之前移除复选框(推荐)。这时会弹出一个警告,选择是。此时,所有隐藏的文件都会显示出来(友情提示:在您清除病毒后,请隐藏'
截图如下:
删除以下文件:
C:\NEWTRO文件夹
c:\ Program Files \ Common Files \ intexplore . pif
c:\ Program Files \ Internet Explorer \ Intel Explorer . com
c:\ WINDOWS \ impose . exe
C:\WINDOWS\IO。BAK系统
C:\WINDOWS\LSASS.exe
c:\ WINDOWS \ Debug \ Debug program . exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG。计算机输出缩微胶片
c:\ WINDOWS \ system32 \ regedit . com
d:在磁盘上点击鼠标右键,选择“打开”(直接双击打开会让病毒自动运行!)。删除该分区根目录中的“Autorun.inf”和“command.com”文件。
3.删除注册表中的其他垃圾信息。有相当多的注册表位置应该写这个病毒。如果不修复,部分系统功能会异常。
将Windows目录中的“regedit.exe”重命名为“regedit.com”并运行它。删除以下项目:
HKEY _类_根目录\窗口文件
HKEY _当前_用户\软件\VB和VBA程序设置
检查HKEY当前用户软件下的关联
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Clients \ StartMenuInternet \ in explore . pif
HKEY _本地_计算机\软件\ Microsoft \ windows \当前版本\运行下的顶部项目
修改HKEY类根的默认值。exe到exefile(原来是windowsfile)
将HKEY _类_根\应用程序\ iexplore.exe \外壳\打开\命令的默认值修改为
c:\ program files \ internet explorer \ ie xplore . exe“% 1”(最初为iexplore.exe)
Set HKEY _类_根\ clsid \ { 871 c 5380-42 A0-1069-a2ea-08002 b 30309d } \ shell \ open home page \ command
的默认值更改为“C:\ Program Files \ Internet Explorer \ ie xplore . exe”(原来是iexplore.exe)
设置HKEY类根\ FTP \ shell \ open \ command
和HKEY _类_根\ html file \ shell \ open new \ command。
被修改为“c:\ program files \ internet explorer \ ie xplore . exe”% 1!
(原始值为INTEXPLORE.pif和INTEXPLORE.pif)
添加HKEY _类_根\ shell文件\外壳\打开\命令和
HKEY _类_根\ http \ shell \ open \命令的默认值修改为
c:\ Program Files \ Internet Explorer \ ie xplore . exe 'nohome
设置HKEY本地机器软件客户端开始菜单互联网
的默认值被修改为INTEXPLORE.pif(原来是INTEXPLORE.pif)
将Windows目录中的regedit扩展名改回exe。到目前为止,病毒已被成功清除,注册表也已修复。好好享受吧。
(我按照一博哥的步骤做这一步的时候,发现系统自动生成了一个regedit.com,你删除regedit.com就可以了)
-
相关知识
过程文件:lsass或lsass.exe
进程名称:本地安全级别作者ityservice
描述:lsass.exe是一个关于微软安全机制的系统化过程,主要处理一些特殊的安全机制和登录策略。
由微软公司生产
属于:windows系统
流程:是
后台进程:是
使用网络:否
硬件相关:否
常见错误:未知
内存使用情况:未知
安全级别:0
间谍软件:否
广告软件:没有
病毒:没有。
木马:没有。