病毒癥狀

進(jìn)程里面有2個(gè)lsass.exe進(jìn)程,一個(gè)是system的,一個(gè)是當(dāng)前用戶名的(該進(jìn)程為病毒).雙擊D:盤打不開,只能通過右擊選擇打開來打開.用kaspersky掃描可以掃描出來,并且可以殺掉.但是重啟后又有兩個(gè)lsass.exe進(jìn)程.該病毒是一個(gè)木馬程序,中毒后會(huì)在D盤根目錄下產(chǎn)生command.com和autorun.inf兩個(gè)文件，同時(shí)侵入注冊(cè)表破壞系統(tǒng)文件關(guān)聯(lián).該病毒修改注冊(cè)表啟動(dòng)RUN鍵值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile鍵值，并新建windowfile鍵值.將exe文件打開鏈接關(guān)聯(lián)到其生成的病毒程序%SYSTEM\EXERT.exe上.

若是嫌太麻煩，直接下載專殺工具。

lsass.exe專殺工具下載

該病毒新建如下文件:

c:\newtro文件夾

c:\program files\common files\INTEXPLORE.pif

c:\program files\internet explorer\INTEXPLORE.com

%SYSTEM\debug\debugprogram.exe

%SYSTEM\system32\Anskya0.exe

%SYSTEM\system32\dxdiag.com

%SYSTEM\system32\MSCONFIG.com

%SYSTEM\system32\regedit.com

%SYSTEM\system32\LSASS.exe

%SYSTEM\system32\EXERT.exe

解決方法

1.結(jié)束進(jìn)程:調(diào)出windows務(wù)管理器(Ctrl+Alt+Del),發(fā)現(xiàn)通過簡(jiǎn)單的右擊當(dāng)前用戶名的lsass.exe來結(jié)束進(jìn)程是行不通的.會(huì)彈出該進(jìn)程為系統(tǒng)進(jìn)程無法結(jié)束的提醒框;鼠標(biāo)右鍵點(diǎn)擊"任務(wù)欄"，選擇"任務(wù)管理器"。點(diǎn)擊菜單"查看(V)"－>"選擇列(S)..."，在彈出的對(duì)話框中選擇"PID（進(jìn)程標(biāo)識(shí)符）"，并點(diǎn)擊"確定"。找到映象名稱為"LSASS.exe"，并且用戶名不是"SYSTEM"的一項(xiàng)，記住其PID號(hào).點(diǎn)擊"開始"-->“運(yùn)行”，輸入"CMD"，點(diǎn)擊"確定"打開命令行控制臺(tái)。輸入"ntsd –c q -p (PID)"，比如我的計(jì)算機(jī)上就輸入"ntsd –c q -p 1132".

2.刪除病毒文件:以下要?jiǎng)h除的文件大多是隱藏文件所以要首先設(shè)置顯示所有的隱藏文件、系統(tǒng)文件并顯示文件擴(kuò)展名;我的電腦-->工具(T)-->文件夾選項(xiàng)(O)...-->查看-->選擇"顯示所有文件和文件夾",并把隱藏受保護(hù)的操作系統(tǒng)文件(推薦)前的勾去掉,這時(shí)會(huì)彈出一個(gè)警告,選擇是.至此就顯示了所有的隱藏文件了(友情提示:待你把病毒清除后,請(qǐng)把"隱藏受保護(hù)的操作系統(tǒng)文件"打上鉤,要不然以后很容易誤刪東西哦).

截圖如下:

刪除如下幾個(gè)文件：

C:\NEWTRO文件夾

C:\Program Files\Common Files\INTEXPLORE.pif

C:\Program Files\Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

在D:盤上點(diǎn)擊鼠標(biāo)右鍵，選擇“打開”(直接雙擊打開會(huì)使病毒自動(dòng)運(yùn)行!)。刪除掉該分區(qū)根目錄下的"Autorun.inf"和"command.com"文件.

3.刪除注冊(cè)表中的其他垃圾信息.這個(gè)病毒該寫的注冊(cè)表位置相當(dāng)多，如果不進(jìn)行修復(fù)將會(huì)有一些系統(tǒng)功能發(fā)生異常。

將Windows目錄下的"regedit.exe"改名為"regedit.com"并運(yùn)行，刪除以下項(xiàng)目:

HKEY_CLASSES_ROOT\WindowFiles

HKEY_CURRENT_USER\Software\VB and VBA Program Settings

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations項(xiàng)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP項(xiàng)

將HKEY_CLASSES_ROOT\.exe的默認(rèn)值修改為exefile(原來是windowsfile)

將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默認(rèn)值修改為

"C:\Program Files\Internet Explorer\iexplore.exe" %1(原來是intexplore.com)

將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

的默認(rèn)值修改為"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)

將HKEY_CLASSES_ROOT \ftp\shell\open\command

和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

的默認(rèn)值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1

(原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)

將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和

HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認(rèn)值修改為

"C:\Program Files\Internet Explorer\iexplore.exe" –nohome

將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

的默認(rèn)值修改為IEXPLORE.EXE.(原來是INTEXPLORE.pif)

重新將Windows目錄下的regedit擴(kuò)展名改回exe，至此病毒清除成功，注冊(cè)表修復(fù)完畢.Enjoy It .

(我在按易博兄的步驟作到這一步時(shí),發(fā)現(xiàn)系統(tǒng)自動(dòng)生成了一個(gè)regedit.exe,那么你把regedit.com刪除就可以了)

--------------------------------------------------------------------------------

相關(guān)知識(shí)

進(jìn)程文件:lsass或者lsass.exe

進(jìn)程名稱:local安全等級(jí)作者ityservice

描述:lsass.exe是一個(gè)關(guān)于微軟安全機(jī)制的系統(tǒng)進(jìn)程，主要處理一些特殊的安全機(jī)制和登錄策略

出品者:microsoft corp.

屬于:windows系統(tǒng)

系統(tǒng)進(jìn)程:是

后臺(tái)進(jìn)程:是

使用網(wǎng)絡(luò):否

硬件相關(guān):否

常見錯(cuò)誤:未知

內(nèi)存使用:未知

安全等級(jí):0

間諜軟件:否

廣告軟件:否

病毒:否

木馬:否