频道栏目
首页 > 资讯 > 网络安全 > 正文

LSASS.exe系统进程病毒

22-06-24        来源:[db:作者]  
收藏   我要投稿

lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、 Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。

基本信息

中文名称

LSASS.exe系统进程病毒

类型

系统病毒

 159.jpg

进程文件

 lsass orlsass.exe

出品者

Microsoft Corp.

目录

1病毒描述

2发现清除

3清除方法

折叠编辑本段病毒描述

英文描述: lsass.exeis a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. Note: lsass.exe also relates to the Windang.worm, irc.ratsou.b, Webus.B, MyDoom.L, Randex.AR, Nimos.worm which

中文描述: lsass.exe系统是微软视窗过程中安全机制的积极作用。它详细探讨了当地安全而且登录政策。注:lsass.exe关系着irc.ratsou.b,Webus,Windang.worm。B,MyDoom。L、Randex。应收帐款、Nimos.worm,

病毒信息

进程文件: lsass orlsass.exe

进程名称: Local Security Authority Service

进程类别:其他进程

出品者:Microsoft Corp.

属于:Microsoft Windows Operating System

系统进程:Yes

后台程序:Yes

网络相关:Yes

常见错误:N/A

内存使用:N/A

病毒:No

LSASS.exe系统进程病毒

折叠编辑本段发现清除

如果你的启动菜单里有个lsass.exe启动项,那就证明你得lsass.exe木马病毒,中毒后,会在windows里产生lsass.exe和exert.exe两个病毒文件,还会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联。在进程里可以见到有两个相同的进程,分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行。LSASS.EXE管理exe类执行文件, exert.exe管理程序退出。

下载个进程管理器,找出问题进程的路径,手动终止LSASS.EXE和exert.exe两个进程(管理器不能终止LSASS.EXE,提示系统进程不能终止),打开msconfig.exe取消LSASS.EXE启动项。删除C:\Documents and Settings\Administrator\Local Settings\tempt和Temporary Internet Files下的文件,断开网络后再删除C:\Program Files\Common Files\update文件夹,这里exe类文件已不能运行,新建一个reg文件,输入如下内容:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]

@="exefile" "Content Type"="%1,%*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]

@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

或用工具恢复注册表。

打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到D:删除command.com和autorun.inf 两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件(本人用金山毒霸2006)全面杀毒,清除余下的病毒!

折叠编辑本段清除方法

●打开"我的电脑"--工具--文件夹选项--查看

●把"隐藏受保护的操作系统文件(推荐)"和"隐藏已知文件类型的扩展名"前面的勾去掉;

●勾中"显示所有文件和文件夹"

●用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的LSASS.EXE(也有可能是小写的lsass.exe,但是注意是当前用户的)来结束进程是行不通的。会弹出该进程为系统进程无法结束的提醒框;点到任务管理器进程面版,点击菜单,"查看"-"选择列",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号。点击"开始"--运行,输入"CMD",点击"确定"打开命令行控制台。

输入"ntsd –c q -p (这里填写你在任务管理器里看到的LSASS.EXE的PID列的数字,是当前用户名进程的PID,别看错了)",比如计算机上进程PID是2264,那就输入"ntsd –c q -p 2264″。这样进程就结束了。

▼如果结束了又会出现,那么用下面的方法

进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒)。

用EWIDO可以直接禁止结束掉的

●上面主要是把进程中止,接下来是删除病毒文件

需要删除的文件有这么一些:

C:/Program Files/Common Files/INTEXPLORE.pif (有的没有。pif)

C:/Program Files/Internet Explorer/INTEXPLORE.com

C:/WINDOWS/EXERT.exe

C:/WINDOWS/IO.SYS.BAK

C:/WINDOWS/LSASS.exe

C:/WINDOWS/Debug/DebugProgram.exe

C:/WINDOWS/system32/dxdiag.com

C:/WINDOWS/system32/MSCONFIG.COM

C:/WINDOWS/system32/regedit.com

●做的彻底一些,删除注册表中的其他垃圾信息,这一步工作如果你装有Free Window Registry Repair这样的注册表清理工具的话,那就不需要手动清除了,执行Free Window Registry Repair进行清理就可以了。下面是手动清除的需要删除的项目:

1、HKEY_CLASSES_ROOT/WindowFiles

2、HKEY_CURRENT_USER/Software/VB and VBA Program Settings

3、HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main下面的 Check_Associations项

4、HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif

5、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下面的ToP项

●修复注册表中被篡改的键值

①、将HKEY_CLASSES_ROOT/.exe的默认值修改为 "exefile"(原来是windowsfile)

②、将HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command 的默认值修改为 "C:/Program Files/Internet Explorer/iexplore.exe" %1 (原来是intexplore.com)

③、将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D} /shell/OpenHomePage/Command 的默认值修改为"C:/Program Files/Internet Explorer/IEXPLORE.EXE"(原来是INTEXPLORE.com)

④、将HKEY_CLASSES_ROOT /ftp/shell/open/command HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command的默认值修改为"C:/Program Files/Internet Explorer/iexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

⑤、将HKEY_CLASSES_ROOT /htmlfile/shell/open/command 和HKEY_CLASSES_ROOT/HTTP/shell/open/command的默认值修改为"C:/Program Files/Internet Explorer/iexplore.exe" –nohome

⑥、将HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet 的默认值修改为"IEXPLORE.EXE"。(原来是INTEXPLORE.pif)

相关TAG标签
上一篇:后门 - 网络病毒
下一篇:ANI病毒
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站