病毒症狀

進程裏麵有（yǒu）2個lsass.exe進程,一個是（shì）system的,一個是當前（qián）用戶名的(該進程（chéng）為病毒).雙擊D:盤打不開（kāi）,隻能通過右擊（jī）選擇打開來打（dǎ）開.用kaspersky掃描可以掃描出來,並且可（kě）以（yǐ）殺（shā）掉.但是重啟後又有兩個lsass.exe進程.該病毒是（shì）一個木馬程序,中毒後會在D盤根目錄下（xià）產生command.com和autorun.inf兩個文件，同時侵入注冊表破壞係（xì）統（tǒng）文件關聯.該病（bìng）毒修改注冊表（biǎo）啟動RUN鍵值,指（zhǐ）向（xiàng）LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile鍵值，並新建windowfile鍵值.將exe文（wén）件打開鏈接關聯到其生成（chéng）的病毒程序%SYSTEM\EXERT.exe上.

若是嫌太（tài）麻煩，直接（jiē）下載專殺工具。

lsass.exe專殺工具下載（zǎi）

該（gāi）病毒新建如下文（wén）件:

c:\newtro文（wén）件夾

c:\program files\common files\INTEXPLORE.pif

c:\program files\internet explorer\INTEXPLORE.com

%SYSTEM\debug\debugprogram.exe

%SYSTEM\system32\Anskya0.exe

%SYSTEM\system32\dxdiag.com

%SYSTEM\system32\MSCONFIG.com

%SYSTEM\system32\regedit.com

%SYSTEM\system32\LSASS.exe

%SYSTEM\system32\EXERT.exe

解決方（fāng）法

1.結束進程:調出windows務管理器(Ctrl+Alt+Del),發現（xiàn）通過簡（jiǎn）單（dān）的右擊當前用戶（hù）名的lsass.exe來結束進程是行不（bú）通的.會彈出該進程為係（xì）統（tǒng）進程無法結束的提醒框;鼠標右鍵點擊（jī）"任務欄"，選擇"任務管（guǎn）理器（qì）"。點擊菜單"查看(V)"－>"選擇列(S)..."，在（zài）彈出的對話框中選擇"PID（進程標識符）"，並點（diǎn）擊"確定"。找到（dào）映象名稱為"LSASS.exe"，並且（qiě）用（yòng）戶名不是"SYSTEM"的一項（xiàng），記住其PID號.點擊"開始"-->“運行”，輸（shū）入"CMD"，點擊"確定"打開命令行控製台。輸入（rù）"ntsd –c q -p (PID)"，比如我（wǒ）的計算機上（shàng）就輸入"ntsd –c q -p 1132".

2.刪除病毒文件:以下要刪除的文件大多是（shì）隱藏文（wén）件所以要首先設置顯示所有的隱藏文件、係統文（wén）件並顯（xiǎn）示文（wén）件擴展名;我的電腦-->工具（jù）(T)-->文件夾（jiá）選（xuǎn）項(O)...-->查看（kàn）-->選擇（zé）"顯（xiǎn）示（shì）所有文件和文件夾",並把隱藏（cáng）受保護（hù）的操作係（xì）統文件(推薦)前的勾去掉,這時（shí）會彈出一個（gè）警告,選擇是.至此就顯示（shì）了（le）所有的（de）隱藏文件了(友情提示:待你把病毒（dú）清除後,請把"隱（yǐn）藏（cáng）受（shòu）保（bǎo）護的操（cāo）作係統文件"打上鉤,要不然以後（hòu）很（hěn）容易誤（wù）刪東西（xī）哦（ò）).

截圖如下:

刪除如下幾（jǐ）個文件：

C:\NEWTRO文件夾

C:\Program Files\Common Files\INTEXPLORE.pif

C:\Program Files\Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

在D:盤上點擊鼠（shǔ）標右鍵，選擇“打開（kāi）”(直接（jiē）雙擊打開會（huì）使病毒自動運行!)。刪除掉該（gāi）分區根目錄（lù）下的"Autorun.inf"和"command.com"文件.

3.刪除注（zhù）冊表中的（de）其他垃圾信息.這個病毒（dú）該寫的注冊（cè）表位置（zhì）相當多，如果（guǒ）不進行修複將會有一些係統功能發生異常。

將Windows目錄下的"regedit.exe"改名為"regedit.com"並運行，刪（shān）除以下項目（mù）:

HKEY_CLASSES_ROOT\WindowFiles

HKEY_CURRENT_USER\Software\VB and VBA Program Settings

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下麵的（de） Check_Associations項

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下麵的ToP項

將（jiāng）HKEY_CLASSES_ROOT\.exe的默（mò）認值（zhí）修改為（wéi）exefile(原來（lái）是windowsfile)

將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默（mò）認值修（xiū）改為

"C:\Program Files\Internet Explorer\iexplore.exe" %1(原來是（shì）intexplore.com)

將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

的默認值修改為"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原（yuán）來是INTEXPLORE.com)

將HKEY_CLASSES_ROOT \ftp\shell\open\command

和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

的默認（rèn）值修改為（wéi）"C:\Program Files\Internet Explorer\iexplore.exe" %1

(原來的（de）值分別是INTEXPLORE.com和INTEXPLORE.pif)

將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和（hé）

HKEY_CLASSES_ROOT\HTTP\shell\open\command的（de）默認值修改為

"C:\Program Files\Internet Explorer\iexplore.exe" –nohome

將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

的（de）默認值修改為IEXPLORE.EXE.(原來是INTEXPLORE.pif)

重（chóng）新將Windows目錄（lù）下（xià）的regedit擴展名（míng）改回（huí）exe，至此病毒（dú）清除成功，注冊表修複完畢（bì）.Enjoy It .

(我（wǒ）在按（àn）易博兄的步驟作到這一步時（shí）,發（fā）現係統（tǒng）自動生成了一個regedit.exe,那麽你（nǐ）把regedit.com刪除（chú）就可（kě）以了)

--------------------------------------------------------------------------------

相關知識

進（jìn）程文件:lsass或（huò）者lsass.exe

進（jìn）程名稱:local安全（quán）等級作者ityservice

描述:lsass.exe是（shì）一個關於微軟安全機製的係統進程，主要處理一些特（tè）殊的安全機製和登錄策略

出品（pǐn）者:microsoft corp.

屬（shǔ）於（yú）:windows係統

係統進程:是

後台進程:是（shì）

使（shǐ）用網絡:否（fǒu）

硬件相關:否

常（cháng）見錯誤:未知

內存使用:未知

安全等級:0

間諜軟（ruǎn）件:否

廣告軟件:否

病毒:否

木（mù）馬:否