病毒癥狀

進程里面有2個lsass.exe進程,一個是system的,一個是當(dāng)前用戶名的(該進程為病毒).雙擊D:盤打不開,只能通過右擊選擇打開來打開.用kaspersky掃描可以掃描出來,并且可以殺掉.但是重啟后又有兩個lsass.exe進程.該病毒是一個木馬程序,中毒后會在D盤根目錄下產(chǎn)生command.com和autorun.inf兩個文件，同時侵入注冊表破壞系統(tǒng)文件關(guān)聯(lián).該病毒修改注冊表啟動RUN鍵值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile鍵值，并新建windowfile鍵值.將exe文件打開鏈接關(guān)聯(lián)到其生成的病毒程序%SYSTEM\EXERT.exe上.

若是嫌太麻煩，直接下載專殺工具。

lsass.exe專殺工具下載

該病毒新建如下文件:

c:\newtro文件夾

c:\program files\common files\INTEXPLORE.pif

c:\program files\internet explorer\INTEXPLORE.com

%SYSTEM\debug\debugprogram.exe

%SYSTEM\system32\Anskya0.exe

%SYSTEM\system32\dxdiag.com

%SYSTEM\system32\MSCONFIG.com

%SYSTEM\system32\regedit.com

%SYSTEM\system32\LSASS.exe

%SYSTEM\system32\EXERT.exe

解決方法

1.結(jié)束進程:調(diào)出windows務(wù)管理器(Ctrl+Alt+Del),發(fā)現(xiàn)通過簡單的右擊當(dāng)前用戶名的lsass.exe來結(jié)束進程是行不通的.會彈出該進程為系統(tǒng)進程無法結(jié)束的提醒框;鼠標右鍵點擊"任務(wù)欄"，選擇"任務(wù)管理器"。點擊菜單"查看(V)"－>"選擇列(S)..."，在彈出的對話框中選擇"PID（進程標識符）"，并點擊"確定"。找到映象名稱為"LSASS.exe"，并且用戶名不是"SYSTEM"的一項，記住其PID號.點擊"開始"-->“運行”，輸入"CMD"，點擊"確定"打開命令行控制臺。輸入"ntsd –c q -p (PID)"，比如我的計算機上就輸入"ntsd –c q -p 1132".

2.刪除病毒文件:以下要刪除的文件大多是隱藏文件所以要首先設(shè)置顯示所有的隱藏文件、系統(tǒng)文件并顯示文件擴展名;我的電腦-->工具(T)-->文件夾選項(O)...-->查看-->選擇"顯示所有文件和文件夾",并把隱藏受保護的操作系統(tǒng)文件(推薦)前的勾去掉,這時會彈出一個警告,選擇是.至此就顯示了所有的隱藏文件了(友情提示:待你把病毒清除后,請把"隱藏受保護的操作系統(tǒng)文件"打上鉤,要不然以后很容易誤刪東西哦).

截圖如下:

刪除如下幾個文件：

C:\NEWTRO文件夾

C:\Program Files\Common Files\INTEXPLORE.pif

C:\Program Files\Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

在D:盤上點擊鼠標右鍵，選擇“打開”(直接雙擊打開會使病毒自動運行!)。刪除掉該分區(qū)根目錄下的"Autorun.inf"和"command.com"文件.

3.刪除注冊表中的其他垃圾信息.這個病毒該寫的注冊表位置相當(dāng)多，如果不進行修復(fù)將會有一些系統(tǒng)功能發(fā)生異常。

將Windows目錄下的"regedit.exe"改名為"regedit.com"并運行，刪除以下項目:

HKEY_CLASSES_ROOT\WindowFiles

HKEY_CURRENT_USER\Software\VB and VBA Program Settings

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations項

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP項

將HKEY_CLASSES_ROOT\.exe的默認值修改為exefile(原來是windowsfile)

將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默認值修改為

"C:\Program Files\Internet Explorer\iexplore.exe" %1(原來是intexplore.com)

將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

的默認值修改為"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)

將HKEY_CLASSES_ROOT \ftp\shell\open\command

和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1

(原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)

將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和

HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為

"C:\Program Files\Internet Explorer\iexplore.exe" –nohome

將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

的默認值修改為IEXPLORE.EXE.(原來是INTEXPLORE.pif)

重新將Windows目錄下的regedit擴展名改回exe，至此病毒清除成功，注冊表修復(fù)完畢.Enjoy It .

(我在按易博兄的步驟作到這一步時,發(fā)現(xiàn)系統(tǒng)自動生成了一個regedit.exe,那么你把regedit.com刪除就可以了)

--------------------------------------------------------------------------------

相關(guān)知識

進程文件:lsass或者lsass.exe

進程名稱:local安全等級作者ityservice

描述:lsass.exe是一個關(guān)于微軟安全機制的系統(tǒng)進程，主要處理一些特殊的安全機制和登錄策略

出品者:microsoft corp.

屬于:windows系統(tǒng)

系統(tǒng)進程:是

后臺進程:是

使用網(wǎng)絡(luò):否

硬件相關(guān):否

常見錯誤:未知

內(nèi)存使用:未知

安全等級:0

間諜軟件:否

廣告軟件:否

病毒:否

木馬:否