LSASS.exe進程病毒

英文描述：

lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. Note: lsass.exe also relates to the Windang.worm, irc.ratsou.b, Webus.B, MyDoom.L, Randex. AR, Nimos.worm which

中文參考：

進程檔案： lsass orlsass.exe

進程名稱： Local Security Authority Service

進程類別：其他進程

出品者：Microsoft Corp.

屬於：Microsoft Windows Operating System

系統進程：Yes

後台程式：Yes

網路相關：Yes

常見錯誤：N/A

記憶體使用：N/A

安全等級 (0-5): 0

間諜軟體：No

廣告軟體：No

病毒：No

如果你的啟動選單里有個lsass.exe啟動項，那就證明你得lsass.exe木馬病毒，中毒後，會在windows里產生lsass.exe和exert.exe兩個病毒檔案，還會在D糟根目錄下產生command.com和autorun.inf兩個檔案，同時侵入註冊表破壞系統檔案關聯。在進程里可以見到有兩個相同的進程，分別是lsass.exet和LSASS.EXE.同時在windows下生成LSASS.EXE和exert.exe兩個執行檔，且在後台運行。LSASS.EXE管理exe類執行檔案，exert.exe管理程式退出。

下載個進程管理器，找出問題進程的路徑，手動終止LSASS.EXE和exert.exe兩個進程（Windows自帶的任務管理器不能終止LSASS.EXE,提示系統進程不能終止），打開msconfig.exe取消LSASS.EXE啟動項。刪除C:\Documents and Settings\Administrator\Local Settings\tempt和Temporary Internet Files下的檔案,斷開網路後再刪除C:\Program Files\Common Files\update資料夾，這裡exe類檔案已不能運行，新建一個reg檔案，輸入如下內容：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]

@="exefile"

"Content Type"="%1，%*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]

@=""

或用工具恢復註冊表。

以WIN98為例:

打開IE屬性刪除cookies和所有脫機內容,啟動進程殺手終止lsass.exe和exert.exe兩個進程，然後到windows目錄下刪除這兩個檔案，這兩個檔案是隱藏的，再到D：刪除command.com和autorun.inf兩個檔案，最後重啟電腦到DOS 運行，用scanreg/restore 命令來恢復註冊表，（如果不會的或者是XP系統不能用的可以用瑞星註冊表修復程式之類的軟體修復一下註冊表），重啟後進到WINDOWS桌面用防毒軟體（本人用金山毒霸2006）全面防毒，清除餘下的病毒！

進程裡面有2個lsass.exe進程，一個是system的，一個是當前用戶名的（該進程為病毒）。雙擊D:盤打不開，只能通過右擊選擇打開來打開。用kaspersky掃描可以掃描出來，並且可以殺掉。但是重啟後又有兩個lsass.exe進程。該病毒是一個木馬程式，中毒後會在D糟根目錄下產生command.com和autorun.inf兩個檔案，同時侵入註冊表破壞系統檔案關聯。該病毒修改註冊表啟動RUN鍵值，指向LSASS.exe，修改HKEY_CLASSES_ROOT下的。exe，exefile鍵值，並新建windowfile鍵值。將exe檔案打開連結關聯到其生成的病毒程式%SYSTEM\EXERT.exe上。

該病毒新建如下檔案：

c:\newtro資料夾

c:\program files\common files\INTEXPLORE.pif

c:\program files\internet explorer\INTEXPLORE.com

%SYSTEM\debug\debugprogram.exe

%SYSTEM\system32\Anskya0.exe

%SYSTEM\system32\dxdiag.com

%SYSTEM\system32\MSCONFIG.com

%SYSTEM\system32\regedit.com

%SYSTEM\system32\LSASS.exe

%SYSTEM\system32\EXERT.exe

一、準備工作：

打開“我的電腦”--工具--資料夾選項--查看

a、把“隱藏受保護的作業系統檔案（推薦）”和“隱藏已知檔案類型的擴展名”前面的勾去掉；

b、勾中“顯示所有檔案和資料夾”

二、結束進程

用Ctrl+Alt+Del調出windows務管理器,想通過右擊當前用戶名的lsass.exe來結束進程是行不通的.會彈出該進程為系統進程無法結束的提醒框;

點到任務管理器進程面版，點擊選單，"查看"－"選擇列"，在彈出的對話框中選擇"PID（進程標識符）"，並點擊"確定"。找到映象名稱為"LSASS.exe"，並且用戶名不是"SYSTEM"的一項，記住其PID號.點擊"開始"——運行，輸入"CMD"，點擊"確定"打開命令行控制台。

輸入"ntsd –c q -p (此紅色部分填寫你在任務管理器里看到的LSASS.EXE的PID列的數字，是當前用戶名進程的PID，別看錯了)"，比如我的計算機上就輸入"ntsd –c q -p 1064".這樣進程就結束了

三、刪除病毒檔案

刪除如下幾個檔案： （與WIN2000的目錄有所不同）

C:\Program Files\Common Files\INTEXPLORE.pif （有的沒有.pif）

C:\Program Files\Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

在D:盤上點擊滑鼠右鍵，選擇“打開”。刪除掉該分區根目錄下的"Autorun.inf"和"command.com"檔案.

四、刪除註冊表中的其他垃圾信息

將C:\WINDOWS目錄下的"regedit.exe"改名為"regedit.com"並運行，刪除以下項目：

1、HKEY_CLASSES_ROOT\WindowFiles

2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings

3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項

4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項

五、修復註冊表中被篡改的鍵值

1、將HKEY_CLASSES_ROOT\.exe的默認值修改為 "exefile"(原來是windowsfile)

2、將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認值修改為 "C:\Program Files\Internet Explorer\iexplore.exe" %1 (原來是intexplore.com)

3、將HKEY_CLASSES_ROOT\CLSID\\shell\OpenHomePage\Command 的默認值修改為 "C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)

4、將HKEY_CLASSES_ROOT \ftp\shell\open\command HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1 (原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)

5、將HKEY_CLASSES_ROOT \htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" –nohome

6、將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默認值修改為"IEXPLORE.EXE".(原來是INTEXPLORE.pif)

六、收尾工作

關掉註冊表編輯器

將C:\WINDOWS目錄下的regedit.com改回regedit.exe