LSASS.exe系统进程病毒[编辑]
lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、
Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
病毒描述
英文描述: lsass.exe is a system process of the Microsoft Windows
security mechanisms. It specifically deals with local security and login
policies. Note: lsass.exe also relates to the Windang.worm, irc.ratsou.b,
Webus.B, MyDoom.L, Randex.AR, Nimos.worm which
中文描述: lsass.exe系统是微软视窗过程中安全机制的积极作用。它详细探讨了当地安全而且登录政策。注:lsass.exe关系着irc.ratsou.b,Webus,Windang.worm。B,MyDoom。L、Randex。应收帐款Nimos.worm,
病毒信息
进程文件: lsass or lsass.exe
进程名称:
Local Security Authority Service
进程类别:其他进程
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:Yes
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
发现/清除
如果你的启动菜单里有个lsass.exe启动项,那就证明你得lsass.exe木马病毒,中毒后,会在windows里产生lsass.exe和exert.exe两个病毒文件,还会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联。在进程里可以见到有两个相同的进程,分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行。LSASS.EXE管理exe类执行文件,
exert.exe管理程序退出。
下载个进程管理器,找出问题进程的路径,手动终止LSASS.EXE和exert.exe两个进程(管理器不能终止LSASS.EXE,提示系统进程不能终止),打开msconfig.exe取消LSASS.EXE启动项。删除C:\Documents
and Settings\Administrator\Local Settings\tempt和Temporary Internet
Files下的文件,断开网络后再删除C:\Program Files\Common
Files\update文件夹,这里exe类文件已不能运行,新建一个reg文件,输入如下内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]
@="exefile" "Content Type"="%1,%*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
或用工具恢复注册表。
打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到D:删除command.com和autorun.inf
两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP 系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件(本人用金山毒霸2006)全面杀毒,清除余下的病毒!
lsass.exe病毒木马手工清除方法
●打开“我的电脑”——工具——文件夹选项——查看
●把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;
●勾中“显示所有文件和文件夹”
●用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的LSASS.EXE(也有可能是小写的lsass.exe,但是注意是当前用户的)来结束进程是行不通的。会弹出该进程为系统进程无法结束的提醒框;点到任务管理器进程面版,点击菜单,“查看”-“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号。点击“开始”——运行,输入“CMD”,点击“确定”打开命令行控制台。
输入“ntsd –c q -p
(这里填写你在任务管理器里看到的LSASS.EXE的PID列的数字,是当前用户名进程的PID,别看错了)”,比如计算机上进程PID是2264,那就输入“ntsd
–c q -p 2264″。这样进程就结束了。
▼如果结束了又会出现,那么用下面的方法
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒)。
用EWIDO可以直接禁止结束掉的
●上面主要是把进程中止,接下来是删除病毒文件
需要删除的文件有这么一些:
C:/Program Files/Common Files/INTEXPLORE.pif
(有的没有。pif)
C:/Program Files/Internet Explorer/INTEXPLORE.com
C:/WINDOWS/EXERT.exe
C:/WINDOWS/IO.SYS.BAK
C:/WINDOWS/LSASS.exe
C:/WINDOWS/Debug/DebugProgram.exe
C:/WINDOWS/system32/dxdiag.com
C:/WINDOWS/system32/MSCONFIG.COM
C:/WINDOWS/system32/regedit.com
●做的彻底一些,删除注册表中的其他垃圾信息,这一步工作如果你装有Free Window Registry
Repair这样的注册表清理工具的话,那就不需要手动清除了,执行Free Window Registry
Repair进行清理就可以了。下面是手动清除的需要删除的项目:
1、HKEY_CLASSES_ROOT/WindowFiles
2、HKEY_CURRENT_USER/Software/VB and VBA Program
Settings
3、HKEY_CURRENT_USER/Software/Microsoft/Internet
Explorer/Main下面的 Check_Associations项
4、HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
下面的ToP项
●修复注册表中被篡改的键值
①、将HKEY_CLASSES_ROOT/.exe的默认值修改为
”exefile“(原来是windowsfile)
②、将HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command
的默认值修改为 ”C:/Program Files/Internet Explorer/iexplore.exe“ %1 (原来是intexplore.com)
③、将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}
/shell/OpenHomePage/Command 的默认值修改为”C:/Program Files/Internet
Explorer/IEXPLORE.EXE“(原来是INTEXPLORE.com)
④、将HKEY_CLASSES_ROOT /ftp/shell/open/command
HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command的默认值修改为”C:/Program
Files/Internet Explorer/iexplore.exe“ %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
⑤、将HKEY_CLASSES_ROOT /htmlfile/shell/open/command
和HKEY_CLASSES_ROOT/HTTP/shell/open/command的默认值修改为”C:/Program Files/Internet
Explorer/iexplore.exe“ –nohome
⑥、将HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet
的默认值修改为”IEXPLORE.EXE“。(原来是INTEXPLORE.pif)
网络营销词典内容均由网友提供,仅供参考。如发现词条内容有问题,请发邮件至info # wm23.com。