LSASS查杀技巧：lsass.exe病毒木马手工清除方法

　　lsass.exe病毒木马手工清除方法

　　病毒症状

　　进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEMEXERT.exe上.

　　该病毒新建如下文件：

　　c:program filescommon filesINTEXPLORE.pif

　　c:program filesinternet explorerINTEXPLORE.com

　　%SYSTEMdebugdebugprogram.exe

　　%SYSTEMsystem32Anskya0.exe

　　%SYSTEMsystem32dxdiag.com

　　%SYSTEMsystem32MSCONFIG.com

　　%SYSTEMsystem32 egedit.com

　　%SYSTEMsystem32LSASS.exe

　　%SYSTEMsystem32EXERT.exe

　　解决方法

　　1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)..."，在弹出的对话框中选择"PID(进程标识符)"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"-》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064".

　　2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.

　　删除如下几个文件：

　　C:Program FilesCommon FilesINTEXPLORE.pif

　　C:Program FilesInternet ExplorerINTEXPLORE.com

　　C:WINDOWSEXERT.exe

　　C:WINDOWSIO.SYS.BAK

　　C:WINDOWSLSASS.exe

　　C:WINDOWSDebugDebugProgram.exe

　　C:WINDOWSsystem32dxdiag.com

　　C:WINDOWSsystem32MSCONFIG.COM

　　C:WINDOWSsystem32 egedit.com

　　在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

　　3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

　　将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目：

　　HKEY_CLASSES_ROOTWindowFiles

　　HKEY_CURRENT_USERSoftwareVB and VBA Program Settings

　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

　　下面的 Check_Associations项

　　HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　下面的ToP项

　　将HKEY_CLASSES_ROOT.exe的默认值修改为

　　"exefile"(原来是windowsfile)

　　将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand

　　的默认值修改为

　　"C:Program FilesInternet Exploreriexplore.exe" %1"

　　(原来是intexplore.com)

　　将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}

　　shellOpenHomePageCommand 的默认值修改为

　　"C:Program FilesInternet ExplorerIEXPLORE.EXE"(原来是INTEXPLORE.com)

　　将HKEY_CLASSES_ROOT ftpshellopencommand

　　和HKEY_CLASSES_ROOThtmlfileshellopennewcommand

　　的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" %1"

　　(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

　　将HKEY_CLASSES_ROOT htmlfileshellopencommand

　　HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为

　　"C:Program FilesInternet Exploreriexplore.exe" –nohome”

　　将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

　　的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)

　　重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕.Enjoy It .

　　回答者：米兰天地 - 进士出身 八级 7-1 00:05

　　修改答复： 米兰天地，您要修改的答复如下: 积分规则 关闭

　　lsass.exe病毒木马手工清除方法

　　病毒症状

　　进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEMEXERT.exe上.

　　该病毒新建如下文件：

　　c:program filescommon filesINTEXPLORE.pif

　　c:program filesinternet explorerINTEXPLORE.com

　　%SYSTEMdebugdebugprogram.exe

　　%SYSTEMsystem32Anskya0.exe

　　%SYSTEMsystem32dxdiag.com

　　%SYSTEMsystem32MSCONFIG.com

　　%SYSTEMsystem32 egedit.com

　　%SYSTEMsystem32LSASS.exe

　　%SYSTEMsystem32EXERT.exe

　　解决方法

　　1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)..."，在弹出的对话框中选择"PID(进程标识符)"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"-》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064".

　　2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.

　　删除如下几个文件：

　　C:Program FilesCommon FilesINTEXPLORE.pif

　　C:Program FilesInternet ExplorerINTEXPLORE.com

　　C:WINDOWSEXERT.exe

　　C:WINDOWSIO.SYS.BAK

　　C:WINDOWSLSASS.exe

　　C:WINDOWSDebugDebugProgram.exe

　　C:WINDOWSsystem32dxdiag.com

　　C:WINDOWSsystem32MSCONFIG.COM

　　C:WINDOWSsystem32 egedit.com

　　在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

　　3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

　　将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目：

　　HKEY_CLASSES_ROOTWindowFiles

　　HKEY_CURRENT_USERSoftwareVB and VBA Program Settings

　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

　　下面的 Check_Associations项

　　HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　下面的ToP项

　　将HKEY_CLASSES_ROOT.exe的默认值修改为

　　"exefile"(原来是windowsfile)

　　将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand

　　的默认值修改为

　　"C:Program FilesInternet Exploreriexplore.exe" %1"

　　(原来是intexplore.com)

　　将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}

　　shellOpenHomePageCommand 的默认值修改为

　　"C:Program FilesInternet ExplorerIEXPLORE.EXE"(原来是INTEXPLORE.com)

　　将HKEY_CLASSES_ROOT ftpshellopencommand

　　和HKEY_CLASSES_ROOThtmlfileshellopennewcommand

　　的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" %1"

　　(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

　　将HKEY_CLASSES_ROOT htmlfileshellopencommand

　　HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为

　　"C:Program FilesInternet Exploreriexplore.exe" –nohome”

　　将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

　　的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)