lsass.exe病毒清除方法及专杀工具

病毒症状

过程中有两个LSA。exe进程，一个来自系统，另一个来自当前用户名（进程是病毒）。双击D：磁盘无法打开，只能右键单击选择“打开”。卡巴斯基扫描仪可以扫描和杀死。但重启后还有两个LSA。进程文件.该病毒是一个木马程序，在D盘的根目录下中毒命令。COM和Autorun。INF两个文件，而入侵注册表会破坏系统文件的关联。病毒修改注册表的启动键值，指向LSASS。修改HKEY根类为EXE、EXEFILE键值和新窗口文件键值。将EXE文件的打开链接与生成的病毒程序%System \ Exert关联。执行。

如果太麻烦了，下载杀戮工具。

LSASS。exe特殊的杀人工具下载

病毒创建以下文件：

文件夹C:\ newtro

C:\ Program Files \ Common Files \ IntExplore。PIF公司

C:\程序文件\ Internet Explorer \ intexplore。COM公司

%system \ debug \ debuggprogram。执行

%System \ System 32 \ Anskya 0。执行

系统\ system32 \ dxdiag。COM公司

%System \ System 32 \ msconfig。COM公司

系统\ system32 \ regedit。COM公司

%system \ system 32 \ lsass。执行

%system \ system 32 \ exert。执行

解决方案

1.结束过程：调用Windows流量管理器（Ctrl+Alt+Del），右键单击当前用户名以查找LSASS。EXE无法完成进程。将出现一个提醒框，提示系统进程无法完成；右键单击"；任务栏，选择"；任务管理器.单击菜单"；看&v gt；>；选择列。。。“；'选择'在弹出对话框中；PID（过程标识符）"；，然后单击"；确定。查找图像名称"；伊萨。执行“，用户名不是"；系统"；记住你的PID号码。点击"；开始（"；）工作组；“操作”，输入；cmd"；，点击"；“测定；打开命令行控制台。输入"；NTSD-C Q-P（PID）"；例如，在我的电脑上输入"；NTSD-C Q-P 1132。

2.删除病毒文件：以下大部分文件都是隐藏文件，因此必须先配置并显示所有隐藏文件、系统文件和显示文件扩展名；我的电脑。。。工具（T）->；文件夹选项。。。工作组；视图-->；选择"；显示所有文件和文件夹，并在隐藏受保护的操作系统（推荐）文件之前删除标记，将出现警告，选择“是”。这将显示所有隐藏的文件（提示：清除病毒后，请选中隐藏受保护的操作系统文件，否则很容易在以后错误地删除东西）。

屏幕截图如下：

删除以下文件：

文件夹C:\ newtro

C:\ Program Files \ Common Files \ IntExplore。PIF公司

C:\程序文件\ Internet Explorer \ intexplore。COM公司

C:\ Windows \ exert。执行

C:\ Windows \ IO。系统。巴克

C:\ Windows \ lsass。执行

C:\ Windows \ Debug \ DebugProgram。执行

C:\ Windows \ System32 \ DxDiag。COM公司

C:\ Windows \ System32 \ msconfig。COM公司

C:\ Windows \ System32 \ regedit。COM公司

右键单击磁盘D:，然后选择“打开”（双击“打开”，病毒将自动运行！）。删除"；根目录分区；奥特伦。INF"；和“；命令。COM"；文件。

3.从注册表中删除任何其他垃圾信息。病毒必须写在相当多的注册表位置，如果不修复，会有一些系统功能异常。

放上"；在Windows目录中；雷吉特。执行“；重命名为“；雷吉特。COM"；并运行以删除以下项目：

HKEY根类\ Windows文件

HKEY当前用户程序设置\软件\ VB和VBA

HKEY当前用户\软件\ Microsoft \ Internet Explorer \主检查以下关联项

HKEY本地机器\软件\客户端\ StartMenuInternet \ IntExplore。PIF公司

HKEY本地机器\软件\微软\ Windows \当前版本\运行下面的顶部项目

设置HKEY类根目录。exe的默认值更改为exe file（以前是Windows文件）

将HKEY类设置为root \ applications \ iexplore。exe \ shell \ open \ command的默认值修改为

"；C:\程序文件\ Internet Explorer \ IExplore。执行（&E）%1（最初是intexplore.com）

设置HKEY类根目录\\ CLSID \\ 871C5380-42A0-1069-A2EA-08002B30309D}\\ shell \\ openHome页\\命令

默认值修改为“；C:\程序文件\ Internet Explorer \ IExplore。执行“；（最初在Explore.com上）

设置HKEY类根目录\ FTP \ shell \ open \ command

和HKEY类根文件

默认值修改为“；C:\程序文件\ Internet Explorer \ IExplore。执行（&E）%1。

（原始值分别为intexplore.com和intexplore.pif）

设置HKEY类root \ htmlfile \ shell \ open \ command和

HKEY类root \ http \ shell \ open \ command的默认值被修改为

"；C:\程序文件\ Internet Explorer \ IExplore。执行–诺霍姆

设置HKEY本地机器\软件\客户端\ StartMenuInternet

将默认值修改为IExplore。执行。（原来是int explore.pif）

将Windows目录的regedit扩展名更改回exe，直到病毒成功清除，注册表才会修复。享受它。

（当我按照伊博兄弟的步骤做这件事时，我发现系统会自动生成一个regedit.exe，所以你可以删除regedit.com。）

这是一个很好的例子。

相关知识

进程文件：LSASS或LSASS。执行

进程名称：本地安全级别授权服务

描述：LSASS。EXE是一个关于Microsoft安全机制的系统过程，主要处理一些特殊的安全机制和登录策略。

微软公司生产

属于Windows系统

系统过程：是

背景过程：是

网络使用：否

相关硬件：无

常见错误：未知

内存使用：未知

安全级别：0

间谍软件：没有

广告软件：没有

病毒：没有

特洛伊木马：没有

• 上一篇：
• 下一篇：