在查看进程时,看到的的lsass.exe 是一个关于微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略。但是,如果看到有“LSASS.exe”进程存在,那么恭喜你了,你的电脑中病毒木马了。
在帮朋友维护电脑时,发现进入不了桌面,任务栏无法启动,于是ctrl+alt+del 启动任务管理器查看进程,发现了“LSASS.exe”进程。于是切换到系统安全模式,想用LSASS.exe病毒专杀工具查杀,但是在安全模式下居然无法执行exe程序,可恶的病毒。看来只有手动删除它了。
1. 先进入文件夹选项设置,把隐藏文件和文件扩展名显示出来。
然后结束LSASS.exe进程。按Ctrl+Alt+Del调出任务管理器,在切换到进程选项,"查看"菜单-"选择列",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记录下其PID号。进入到命令行控制台(开始-运行-cmd),输入“ntsd –c q -p 1064(其中,1064为LSASS.EXE的PID列的数字)”即可结束LSASS进程。
2. 删除如下路径的病毒文件:
C:\Program Files\Common Files\INTEXPLORE.pif (有的没有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
3. 删除病毒程序在注册表中的遗留信息。
将C:\WINDOWS目录下的"regedit.exe"改名为"regedit.com",然后“开始-运行-regedit”打开注册表编辑器。删除以下注册表信息:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项
4. 修复注册表中被病毒程序修改过的键值。
1、将HKEY_CLASSES_ROOT\.exe的默认值修改为 "exefile"(原来是windowsfile)
2、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 "C:\Program Files\Internet Explorer\iexplore.exe" %1 (原来是intexplore.com)
3、将HKEY_CLASSES_ROOT\CLSID\ \shell\OpenHomePage\Command 的默认值修改为
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)
4、将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
5、将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome
6、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)。
修改完毕,关闭注册册表编辑器,并将C:\WINDOWS目录下的regedit.com 重新改为regedit.exe即可。
