病毒症状
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击本地磁盘D:打不开,只能通过右击选择打开来打开.用瑞星扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM/EXERT.exe上.
该病毒新建如下文件:
c:/programfiles/commonfiles/INTEXPLORE.pif
c:/programfiles/internetexplorer/INTEXPLORE.com
%SYSTEM/debug/debugprogram.exe
%SYSTEM/system32/Anskya0.exe
%SYSTEM/system32/dxdiag.com
%SYSTEM/system32/MSCONFIG.com
%SYSTEM/system32/regedit.com
%SYSTEM/system32/LSASS.exe
%SYSTEM/system32/EXERT.exe
病毒症状1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd–cq-p(PID)",比如我的计算机上就输入"ntsd–cq-p1064".
2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.
删除如下几个文件:
C:/ProgramFiles/CommonFiles/INTEXPLORE.pif
C:/ProgramFiles/InternetExplorer/INTEXPLORE.com
C:/WINDOWS/EXERT.exe
C:/WINDOWS/IO.SYS.BAK
C:/WINDOWS/LSASS.exe
C:/WINDOWS/Debug/DebugProgram.exe
C:/WINDOWS/system32/dxdiag.com
C:/WINDOWS/system32/MSCONFIG.COM
C:/WINDOWS/system32/regedit.com
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.
3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:
HKEY_CLASSES_ROOT/WindowFiles
HKEY_CURRENT_USER/Software/VBandVBAProgramSettings
HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main
下面的Check_Associations项
HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
下面的ToP项
将HKEY_CLASSES_ROOT/.exe的默认值修改为
"exefile"(原来是windowsfile)
将HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command
的默认值修改为
"C:/ProgramFiles/InternetExplorer/iexplore.exe"%1"
(原来是intexplore.com)
将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}
/shell/OpenHomePage/Command的默认值修改为
"C:/ProgramFiles/InternetExplorer/IEXPLORE.EXE"(原来是INTEXPLORE.com)
将HKEY_CLASSES_ROOT/ftp/shell/open/command
和HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command
的默认值修改为"C:/ProgramFiles/InternetExplorer/iexplore.exe"%1"
(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
将HKEY_CLASSES_ROOT/htmlfile/shell/open/command
HKEY_CLASSES_ROOT/HTTP/shell/open/command的默认值修改为
"C:/ProgramFiles/InternetExplorer/iexplore.exe"–nohome”
将HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet
的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)
重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕.EnjoyIt.
分享到:
相关推荐
本软件为lsass.exe和smss.exe病毒(磁碟机病毒)的专杀工具,基于恶意软件查杀助理辅助工具的查杀引擎,并专门针对该病毒作了强化,支持扫描rar格式和自解压格式,支持扫描被感染的应用程序与网页文件,能比较有效的...
清除LSASS病毒和smss病毒的工具,LSASS不断变种,该作者也不断努力更新中。 注意:这个软件好像是把感染病毒的文件删除,不是清除,请小心! 博客地址:...
解决lsass.exe占用CPU50%以上。解决lsass.exe占用CPU50%以上。
lsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rarlsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rarlsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rarlsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rar
lsass.exe和smss.exe病毒专杀工具.rar
用于恢复xpLSASS.EXE文件,这个还有啥大于的字节真是愁人
lsass.exe是什么?.docx
dump lsass.exe 进程
直接从 lsass.exe 里获取windows处于active状态账号明文密码.
主要介绍了Windows服务器上lsass.exe进程CPU使用率异常问题排查方法,一般这个情况是发起了对外攻击造成的,也就是你的服务器可能已经沦为肉机,需要的朋友可以参考下
dump_lsass 一个dumpWindows系统lsass.exe进程的工具 dump_lsass_for_Win7_x64.c和dump_lsass_for_Win10_x64.c是国外一位大佬写的lsass.exe进程转储工具,参考... procdump.exe -accepteula -ma lsass.exe lsass_dump
解决实际问题,因为这些毒大多在注册表中,lsass.exe 和smss.exe
如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒:1.可以去 wins 目录找找有无多余,2.可以搜搜windows文件夹中 svchost.exe 看看有几个(应为1个), ist -s察看,4.也可以下载一个可以看带路径名的...
lsass.hlsass.h
简单好用的,lsass进程不断上传流量的处理方法,lsass进程不断上传流量的处理方法,
ntsd是一个用户态进程调试...它能够结束除System、smss.exe、csrss.exe、lsass.exe及各种rootkit程序外所有的程序。但在Windows Vista及以上版本的Windows中不含ntsd, 必须手动下载至电脑中才可使用。(来自360百科)
C:\WINDOWS\system32\lsass.exe 描述LSA Shell (Export Version) 病毒行为: 病毒运行后拷贝自身到%systemroot%\system32\目录下,注册服务开启进程,修改exe文件关联的图标,修改文件夹选项里面的“隐藏系统受保护...
本软件为lsass.exe和smss.exe病毒(暂定名)的专杀工具,基于恶意软件查杀助理辅助工具的查杀引擎,并专门针对该病毒作了强化,支持扫描rar格式和自解压格式,支持扫描被感染的应用程序与网页文件,能比较有效的查杀...
经常成为伪装目标的是 svchost.exe, lsass.exe, alg.exe, ctfmon.exe, csrss.exe, wmiprvse.exe, wisptis.exe 和 wuauclt.exe. 官方网址:http://www.wenjian.cn/freeware/processviewer.html