LSASS.exe进程病毒的解决方法
\u8fdb\u7a0b\u4e2d\u7684 lsass.exe \u662f\u4e0d\u662f\u75c5\u6bd2\u4e0d\u662f\uff0c\u662f\u7cfb\u7edf\u8fdb\u7a0b\u3002
\u5982\u679c\u4e0d\u653e\u5fc3\u6015\u75c5\u6bd2\u6ce8\u5165\u8fdb\u7a0b\u53ef\u4ee5\u7528\u6740\u6bd2\u8f6f\u4ef6\u626b\u63cf\u5185\u5b58\uff01
\u4e0d\u8fc7\u73b0\u5728\u5927\u90e8\u5206\u7684\u75c5\u6bd2\u4e0d\u4f1a\u6ce8\u5165\u5230\u8fd9\u6837\u654f\u611f\u7684\u8fdb\u7a0b\u4e86\uff0c\u56e0\u4e3a\u6740\u6bd2\u8f6f\u4ef6\u5bf9\u8fd9\u6837\u7684\u654f\u611f\u8fdb\u7a0b\u67e5\u6740\u529b\u5ea6\u5f88\u5927\uff01
\u7528Process Explorer\u5bdf\u770b\u4e00\u4e0b\u7cfb\u7edf\u8fdb\u7a0b\uff0c\u5c06\u8fdb\u7a0b\u4fe1\u606f\u4e2d\u6709\u5947\u5f02\u4fe1\u606f\u7684\u8fdb\u7a0b\u7ed3\u675f\u6389\u3002\u5728\u7ed3\u675f\u4e4b\u524d\uff0c\u5148\u5bdf\u770b\u8be5\u8fdb\u7a0b\u7684\u5c5e\u6027\uff0c\u5f97\u5230\u6587\u4ef6\u5730\u5740\uff0c\u6700\u540e\u5220\u9664\u8be5\u6587\u4ef6\uff01\u82e5\u7ed3\u675f\u8fdb\u7a0b\u65f6\u6709\u5176\u4ed6\u8fdb\u7a0b\u8fd0\u884c\uff0c\u53ef\u7acb\u523b\u9009\u79cd\u8be5\u542f\u52a8\u7684\u8fdb\u7a0b\uff0c\u5e76\u6682\u505c\u4ed6\uff0c\u4e4b\u540e\u5728\u9010\u4e2a\u4e2d\u6b62\uff0c\u5220\u9664\u3002
一、准备工作:
打开“我的电脑”--工具--文件夹选项--查看
a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;
b、勾中“显示所有文件和文件夹”
二、结束进程
用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;
点到任务管理器进程面版,点击菜单,查看-选择列,在弹出的对话框中选择PID(进程标识符),并点击确定。找到映象名称为LSASS.exe,并且用户名不是SYSTEM的一项,记住其PID号.点击开始——运行,输入CMD,点击确定打开命令行控制台。
输入ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字,是当前用户名进程的PID,别看错了),比如我的计算机上就输入ntsd –c q -p 1064.这样进程就结束了
三、删除病毒文件
删除如下几个文件: (与WIN2000的目录有所不同)
C:\Program Files\Common Files\INTEXPLORE.pif (有的没有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32egedit.com
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的Autorun.inf和command.com文件.
四、删除注册表中的其他垃圾信息
将C:\WINDOWS目录下的regedit.exe改名为regedit.com并运行,删除以下项目:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项
五、修复注册表中被篡改的键值
1、将HKEY_CLASSES_ROOT\.exe的默认值修改为 exefile(原来是windowsfile)
2、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 C:\Program Files\Internet Explorer\iexplore.exe %1 (原来是intexplore.com)
3、将HKEY_CLASSES_ROOT\CLSID\\shell\OpenHomePage\Command 的默认值修改为 C:\Program Files\Internet Explorer\IEXPLORE.EXE(原来是INTEXPLORE.com)
4、将HKEY_CLASSES_ROOT \ftp\shell\open\command HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为C:\Program Files\Internet Explorer\iexplore.exe %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
5、将HKEY_CLASSES_ROOT \htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为C:\Program Files\Internet Explorer\iexplore.exe –nohome
6、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为IEXPLORE.EXE.(原来是INTEXPLORE.pif)
六、收尾工作
关掉注册表编辑器
将C:\WINDOWS目录下的regedit.com改回regedit.exe
绛旓細棣栧厛锛岃繘琛屽繀瑕佺殑绯荤粺璁剧疆璋冩暣銆傚湪"鎴戠殑鐢佃剳"涓墦寮"宸ュ叿"锛岄夋嫨"鏂囦欢澶归夐」"锛屽彇娑"闅愯棌鍙椾繚鎶ょ殑鎿嶄綔绯荤粺鏂囦欢"鍜"闅愯棌宸茬煡鏂囦欢绫诲瀷鐨勬墿灞曞悕"鐨勫嬀閫夛紝鐒跺悗鍕鹃"鏄剧ず鎵鏈夋枃浠跺拰鏂囦欢澶"锛屼互渚夸簬鏌ョ湅闅愯棌鏂囦欢銆傛帴鐫锛岄渶瑕佺粨鏉熺枒浼鐥呮瘨鐨凩SASS.exe杩涚▼銆傞氳繃Ctrl+Alt+Del鍚姩浠诲姟绠$悊鍣紝閫夋嫨"鏌ョ湅"鑿滃崟锛...
绛旓細褰撶數鑴戝湪鍚姩鏃舵樉绀衡滃簲鐢ㄧ▼搴lsass.exe閿欒鈥濓紝杩欓氬父鏄洜涓虹郴缁熷彈鍒颁簡闇囪崱娉鐥呮瘨鐨鎰熸煋銆備负浜嗚В鍐宠繖涓棶棰橈紝棣栧厛闇瑕佷笅杞藉苟瀹夎寰蒋鍙戝竷鐨勯拡瀵硅婕忔礊鐨勮ˉ涓佺▼搴忋傞殢鍚庯紝浣跨敤涓撻棬鐨勭梾姣掓竻闄ゅ伐鍏峰绯荤粺杩涜鍏ㄩ潰鎵弿鍜屾竻闄ゃ傚鏋滅郴缁熸棤娉曟甯稿惎鍔紝鍙互鍦―OS鐜涓嬶紙渚嬪閫氳繃鍚姩鐩樻垨PE绯荤粺锛夋浛鎹㈤厤缃枃浠舵潵淇绯...
绛旓細鍕句腑鈥滄樉绀烘墍鏈夋枃浠跺拰鏂囦欢澶光濅簩銆佺粨鏉杩涚▼鐢–trl+Alt+Del璋冨嚭windows鍔$鐞嗗櫒,鎯抽氳繃鍙冲嚮褰撳墠鐢ㄦ埛鍚嶇殑lsass.exe鏉ョ粨鏉熻繘绋嬫槸琛屼笉閫氱殑.浼氬脊鍑鸿杩涚▼涓虹郴缁熻繘绋嬫棤娉曠粨鏉熺殑鎻愰啋妗;
绛旓細鐥呮瘨鏈鍠滄鍏ヤ镜杩欎釜杩涚▼锛屽鏋滃湪C:\Windows\System32鏂囦欢澶逛笅锛屾湁涓や釜杩欐牱鐨lsass.exe鏂囦欢锛岃偗瀹氭湁涓槸鐥呮瘨锛屼竴鑸梾姣掑悕涓篒SASS.exe锛屽悕瀛椾负澶у啓锛岀涓涓瓧姣嶄负澶у啓鐨刬锛屽苟涓嶆槸灏忓啓鐨凩锛屽垹闄よ繖涓亣鏂囦欢鍗冲彲銆傚鏋滃湪寮鏈烘椂鎻愮ず“ lsass.exe绯荤粺閿欒锛屽畨鍏ㄥ笎鎴风鐞嗗櫒鍒濆鍖栧け璐 ”锛岃繖绉嶆儏鍐碉紝...
绛旓細褰搇sass杩涚▼鍑虹幇寮傚父鎯呭喌鏃讹紝寤鸿鍏堝皢鏉姣掕蒋浠舵洿鏂板埌鏈鏂扮増鏈紝鐒跺悗杩涜鍏ㄧ洏鏉姣銆傚鏋滄壂鎻忓畬娌℃湁鏌ュ嚭鏄梾姣掞紝閭f湁灏辨槸绯荤粺鍑轰簡闂锛屽彲浠ラ氳繃浠ヤ笅姝ラ鏉ョ鐢ㄥ畠銆1銆佺敤鍙抽敭鐐瑰嚮璁$畻鏈恒2銆侀夋嫨绠$悊-鏈嶅姟鍜屽簲鐢ㄧ▼搴-鏈嶅姟銆3銆佸弻鍑诲彸渚х獥鍙rotected Storage寮瑰嚭鐨勫璇濇閲岄潰閫夊仠姝4銆佺劧鍚庡惎鍔ㄧ被鍨嬫敼涓哄凡绂佺敤...
绛旓細鍚姩鏃舵樉绀衡滃簲鐢ㄧ▼搴lsass.exe閿欒鈥濇槸鍥犱负鐢佃剳涓簡闇囪崱娉鐥呮瘨銆傝鍏堟墦闇囪崱娉㈢殑寰蒋琛ヤ竵锛岀劧鍚庣敤涓撴潃宸ュ叿鏌ユ潃銆傚鏋滆繘涓嶄簡绯荤粺锛屽氨鍦―OS涓嬶紙鐢ㄥ厜鐩樺惎鍔ㄥ埌PE绯荤粺涔熻锛夛紝鐢–:\WINDOWS\repair\sam鏂囦欢鏇挎崲C:\WINDOWS\system32\config\sam鏂囦欢鍗冲彲銆傜梾姣掍腑鏂囧悕锛氶渿鑽℃尝 鐥呮瘨澶у皬锛15,872瀛楄妭 鐥呮瘨绫诲瀷锛...
绛旓細1. LSASS.exe鏄郴缁熷唴鏍杩涚▼锛岃礋璐e鐞嗘湰鍦板畨鍏ㄨ璇佸拰瀵嗙爜鏇存敼绛夋晱鎰熸搷浣溿2. 鍦ㄦ甯歌繍琛屼腑锛岃杩涚▼搴斿崰鐢ㄦ瀬灏戦噺鐨凜PU璧勬簮銆3. 缃戠粶鐥呮瘨鏈夋椂浼氫吉瑁呮垚LSASS.exe锛屼互閫冮伩妫娴嬨4. 鑻ュ彂鐜癓SASS.exe鍗犵敤CPU杩囬珮锛屽彲鑳芥槸鎰熸煋浜嗙梾姣掋5. 鏇存柊鏉姣掕蒋浠跺苟杩涜鍏ㄧ洏鎵弿鏄娴鐥呮瘨鐨鏈夋晥姝ラ銆6. 濡傛灉鎵弿鏈彂鐜...
绛旓細lsass.exe鍙兘鍦ㄥ緢澶氬皬浼欎即閭i噷鏄緢闄岀敓鐨勶紝鍥犱负鎴戜滑涓嶅父瑙佸埌杩欎釜杩涚▼銆傚叾瀹炲浜嶹inXP绯荤粺鏉ヨ杩欐槸涓潪甯搁噸瑕佺殑杩涚▼锛屽畠涓昏鐢ㄤ簬鎴戜滑鐢佃剳鐨勫畨鍏ㄨ璇侊紝姣斿鎴戜滑鐨勭櫥褰曞瘑鐮侀獙璇併傚悓鏃惰繖涓繘绋嬩篃鏄緢澶鐥呮瘨鍠滄閫夋嫨鍏ヤ镜鐨勫璞★紝濡傛灉鎴戜滑鐨勭數鑴戜腑鍑虹幇鈥渓sass.exe绯荤粺閿欒锛屽畨鍏ㄥ笎鎴风鐞嗗櫒鍒濆鍖栧け璐モ濈殑鎻愮ず锛屽氨璇存槑...
绛旓細lsass.exe鏄郴缁杩涚▼锛岃礋璐f湰鍦板畨鍏ㄨ璇佹湇鍔°傚畠涓簑inlogon鏈嶅姟鎻愪緵鐢ㄦ埛楠岃瘉鍔熻兘锛屽苟鍦ㄩ獙璇佹垚鍔熷悗鐢熸垚璁块棶浠ょ墝锛岃浠ょ墝鐢ㄤ簬鍚姩鐢ㄦ埛鐨勫垵濮嬪澹崇▼搴忋傚悗缁敤鎴峰惎鍔ㄧ殑鍏朵粬杩涚▼浼氱户鎵胯繖涓浠ょ墝銆俵sass.exe鏂囦欢閫氬父浣嶄簬C:WindowsSystem32鐩綍銆傝嫢lsass.exe鍑虹幇鍦ㄥ叾浠栦綅缃紝鍙兘鏄鐥呮瘨銆佹湪椹垨鎭舵剰绋嬪簭鐨勬爣蹇椼備緥濡傦紝...
绛旓細鎮ㄥソ lsass.exe骞堕潪鐥呮瘨锛岃屾槸灞炰簬绯荤粺鐨勬帶鍒舵枃浠讹紝鍙槸琚劅鏌撲簡鐥呮瘨鑰屽凡 鎮ㄥ彲浠ュ埌鑵捐鐢佃剳绠″瀹樼綉涓嬭浇涓涓數鑴戠瀹 鐒跺悗浣跨敤鐢佃剳绠″鈥斺旀潃姣掆斺斿叏鐩樻煡鏉鍗冲彲 鐢佃剳绠″鎷ユ湁绠″绯荤粺淇寮曟搸锛屽彲浠ュ湪鏉姣掑悗鏅鸿兘淇鍥犳湪椹梾姣掑鑷寸殑绯荤粺寮傚父锛岀淮鎶ょ數鑴戝畨鍏ㄧǔ瀹氳繍琛屻傚鏋滆繕鏈夊叾浠栫枒闂拰闂锛屾杩庡啀娆℃潵鐢佃剳绠″...
