lsass.exe病毒清除方法及专杀工具

病毒症状

进程中有两个lsass.exe进程，一个是系统，一个是当前用户名(这个进程是病毒)。双击D:磁盘无法打开，只能右键选择打开才能打开。卡巴斯基扫描可以扫描并杀死它。但是重启后，有两个lsass.exe进程。这种病毒是特洛伊木马。中毒后会在D盘根目录下生成command.com和autoRUN.inf两个文件，同时入侵注册表破坏系统文件关联。该病毒修改注册表启动运行键值，指向LSASS.exe，修改。HKEY _类_根下的. exe和. exefile键值，并创建一个新的windowfile键值。exe文件打开链接会关联到其生成的病毒程序% SYSTEM \ impose . exe。

如果太麻烦，直接下载查杀工具。

lsass.exe专杀工具下载

病毒会创建以下新文件：

C:\newtro文件夹

c:\ program files \ common files \ intexplore . pif

c:\ program files \ internet explorer \ Intel explorer . com

%SYSTEM\debug\debugprogram.exe

%SYSTEM\system32\Anskya0.exe

%SYSTEM\system32\dxdiag.com

%SYSTEM\system32\MSCONFIG.com

%SYSTEM\system32\regedit.com

%SYSTEM\system32\LSASS.exe

% SYSTEM \ system32 \ impose . exe

解决办法

1.结束进程：调出windows业务管理器(Ctrl Alt Del)，发现仅仅通过右键单击当前用户名的lsass.exe来结束进程是不可行的。会弹出一个提醒框，提示该流程是系统流程，不能结束；右键单击“任务栏”并选择“任务管理器”。单击菜单“视图(V)”-“选择列.”。在弹出的对话框中选择“PID(进程标识符)”，然后单击“确定”。查找映像名称“LSASS.exe ”,并且用户名不是“SYSTEM”。记住它的PID号。单击“开始”-“运行”，输入“CMD”并单击“确定”打开命令行控制台。在我的电脑上输入“ntsd -c q -p (PID)”，如“ntsd -c q -p 1132”。

2.删除病毒文件：以下要删除的文件多为隐藏文件，所以你要先设置显示所有隐藏文件，系统文件，显示文件扩展名；我的电脑-工具(T)-文件夹选项(O).-查看-选择“显示所有文件和文件夹”，并在隐藏受保护的操作系统文件之前移除复选框(推荐)。这时会弹出一个警告，选择是。此时，所有隐藏的文件都会显示出来(友情提示：在您清除病毒后，请隐藏'

截图如下：

删除以下文件：

C:\NEWTRO文件夹

c:\ Program Files \ Common Files \ intexplore . pif

c:\ Program Files \ Internet Explorer \ Intel Explorer . com

c:\ WINDOWS \ impose . exe

C:\WINDOWS\IO。BAK系统

C:\WINDOWS\LSASS.exe

c:\ WINDOWS \ Debug \ Debug program . exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG。计算机输出缩微胶片

c:\ WINDOWS \ system32 \ regedit . com

d:在磁盘上点击鼠标右键，选择“打开”(直接双击打开会让病毒自动运行！)。删除该分区根目录中的“Autorun.inf”和“command.com”文件。

3.删除注册表中的其他垃圾信息。有相当多的注册表位置应该写这个病毒。如果不修复，部分系统功能会异常。

将Windows目录中的“regedit.exe”重命名为“regedit.com”并运行它。删除以下项目：

HKEY _类_根目录\窗口文件

HKEY _当前_用户\软件\VB和VBA程序设置

检查HKEY当前用户软件下的关联

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Clients \ StartMenuInternet \ in explore . pif

HKEY _本地_计算机\软件\ Microsoft \ windows \当前版本\运行下的顶部项目

修改HKEY类根的默认值。exe到exefile(原来是windowsfile)

将HKEY _类_根\应用程序\ iexplore.exe \外壳\打开\命令的默认值修改为

c:\ program files \ internet explorer \ ie xplore . exe“% 1”(最初为iexplore.exe)

Set HKEY _类_根\ clsid \ { 871 c 5380-42 A0-1069-a2ea-08002 b 30309d } \ shell \ open home page \ command

的默认值更改为“C:\ Program Files \ Internet Explorer \ ie xplore . exe”(原来是iexplore.exe)

设置HKEY类根\ FTP \ shell \ open \ command

和HKEY _类_根\ html file \ shell \ open new \ command。

被修改为“c:\ program files \ internet explorer \ ie xplore . exe”% 1！

(原始值为INTEXPLORE.pif和INTEXPLORE.pif)

添加HKEY _类_根\ shell文件\外壳\打开\命令和

HKEY _类_根\ http \ shell \ open \命令的默认值修改为

c:\ Program Files \ Internet Explorer \ ie xplore . exe 'nohome

设置HKEY本地机器软件客户端开始菜单互联网

的默认值被修改为INTEXPLORE.pif(原来是INTEXPLORE.pif)

将Windows目录中的regedit扩展名改回exe。到目前为止，病毒已被成功清除，注册表也已修复。好好享受吧。

(我按照一博哥的步骤做这一步的时候，发现系统自动生成了一个regedit.com，你删除regedit.com就可以了)

-

相关知识

过程文件：lsass或lsass.exe

进程名称：本地安全级别作者ityservice

描述：lsass.exe是一个关于微软安全机制的系统化过程，主要处理一些特殊的安全机制和登录策略。

由微软公司生产

属于：windows系统

流程：是

后台进程：是

使用网络：否

硬件相关：否

常见错误：未知

内存使用情况：未知

安全级别：0

间谍软件：否

广告软件：没有

病毒：没有。

木马：没有。