LSASS.EXE是病毒嗎,有什麼危害,如何查殺?

出自 Wenbanzhu
前往: 導覽搜尋

待解問題.png 問題

LSASS.EXE是病毒嗎,有什麼危害,如何查殺?.jpg
--Ly651686474 2010年6月2日 (三) 09:27 (CST)

問題具體描述:LSASS.EXE是病毒嗎,有什麼危害,如何查殺?


最新回答.png 回答

LSASS.EXE介紹

lsass.exe是一個系統進程也可能是一種病毒

  • LSASS.EXE是一個系統進程,用於微軟Windows系統的安全機制。它用於本地安全和登陸策略。
  • lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創建的,病毒通過軟盤、群發郵件和P2P文件共享進行傳播。

lsass.exe病毒的危害:該(這些)病毒是一個可以在WIN9X/NT/2000/XP等作業系統上運行的盜號木馬。

  • 病毒會強行終止多種殺毒軟體的進程,使其不能正常運行。它會頻繁檢查「傳奇」客戶端的窗口,如果窗口存在,就會取得當前滑鼠的位置,並記錄鍵盤信息,最後把記錄下來的信息發送到指定郵箱,從而竊取用戶的遊戲帳號和密碼等。
  • 這個病毒比較狠毒,手工清除較為複雜。請用戶務必按照步驟嚴格操作,否則很可能出現無法清除乾淨的情況。建議一般用戶最好使用殺毒軟體來清除這個病毒。

LSASS.EXE的查殺

windowsXP如何手工清除lsass.exe病毒

一、準備工作:打開「我的電腦」—「工具」—「文件夾選項」—「查看」。

1、把「隱藏受保護的作業系統文件(推薦)」和「隱藏已知文件類型的擴展名」前面的勾去掉;

2、勾中「顯示所有文件和文件夾」。

二、結束進程

  • 用Ctrl+Alt+Del調出windows務管理器,想通過右擊當前用戶名的lsass.exe來結束進程是行不通的。會彈出該進程為系統進程無法結束的提醒框;
  • 點到任務管理器進程面版,點擊菜單,「查看」-「選擇列」,在彈出的對話框中選擇「PID(進程標識符)」,並點擊「確定」。找到映象名稱為「LSASS.exe」,並且用戶名不是「SYSTEM」的一項,記住其PID號。
  • 點擊「開始」—「運行」,輸入「CMD」,點擊「確定」打開命令行控制台。
  • 輸入「ntsd –c q -p PID(填寫你在任務管理器里看到的LSASS.EXE的PID列的數字)」,比如我的計算機上就輸入「ntsd –c q -p 1064」。這樣進程就結束了。(如果結束了又會出現,那麼你還是用下面的方法吧)

三、刪除病毒文件:刪除如下幾個文件(與WIN2000的目錄有所不同)

  • C:\Program Files\Common Files\INTEXPLORE.pif (有的沒有.pif)
  • C:\Program Files\Internet Explorer\INTEXPLORE.com
  • C:\WINDOWS\EXERT.exe (或者exeroute.exe)   
  • C:\WINDOWS\IO.SYS.BAK   
  • C:\WINDOWS\LSASS.exe  
  • C:\WINDOWS\Debug\DebugProgram.exe
  • C:\WINDOWS\system32\dxdiag.com
  • C:\WINDOWS\system32\MSCONFIG.COM
  • C:\WINDOWS\system32\regedit.com   
  • 在D:盤上點擊滑鼠右鍵,選擇「打開」。刪除掉該分區根目錄下的「Autorun.inf」和「command.com」文件。

四、刪除註冊表中的其他垃圾信息:將C:\WINDOWS目錄下的「regedit.exe」改名為「regedit.com」並運行,刪除以下項目

  • HKEY_CLASSES_ROOT\WindowFiles
  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項
  • HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項

五、修復註冊表中被篡改的鍵值

  • 將HKEY_CLASSES_ROOT\.exe的默認值修改為 「exefile」(原來是windowsfile)
  • 將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認值修改為 「C:\Program Files\Internet Explorer\iexplore.exe」 %1 (原來是intexplore.com)
  • 將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默認值修改為「C:\Program Files\Internet Explorer\IEXPLORE.EXE」(原來是INTEXPLORE.com)
  • 將HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默認值修改為「C:\Program Files\Internet Explorer\iexplore.exe」 %1 (原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)
  • 將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為「C:\Program Files\Internet Explorer\iexplore.exe」 –nohome
  • 將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默認值修改為「IEXPLORE.EXE」。(原來是INTEXPLORE.pif)

六、收尾工作:關掉註冊表編輯器。將C:\WINDOWS目錄下的regedit.com改回regedit.exe,如果提示有重名文件存在,不能更改,可以先將重名的regedit.exe刪除,再將regedit.com改為regedit.exe。

明星版主.png 版主: 本頁回答由版主「Ly651686474」負責,您可以查看Ly651686474介紹和編輯或者給Ly651686474留言


分類瀏覽.png 分類電腦|病毒|LSASS|危害|查殺|如何|是什麼

討論.png 討論

關於「LSASS.EXE是病毒嗎,有什麼危害,如何查殺?」的留言:

目前暫無留言

新增相关留言