Skip to content
August 12, 2006 / tninja1980msn

病毒警告:LSASS.EXE病毒

本来打算睡觉了,却意外发现系统多出了个LSASS.EXE进程,用户是K’不是system,心想不妙。找到位置后清除了3次重起以后又冒出来,发现没那么简单,上网找了些方法花了1个多小时才解决掉…贴出来警告大家。
 
因为现在没有任何一款杀毒软件可以查杀这个东西!!!!!!!!!!我很谨慎的,却也中了这个该死的病毒,大家一定要检查检查自己的电脑。
 
这个狗东西实在是坏,不是简单就可以删除掉的一个木马程序。它在你的电脑上布下了许多陷阱,从启动,到IE,msconfig,regedit,dxdiag,到其它盘的根目录偷装autoinf.ini让你一双击自己的硬盘就再次中毒,这个作者实在是黑啊,可恶。
 
回头想想,好像是双击打开了一个朋友的移动硬盘感染的…以后用usb盘的时候小心点,看看根目录下有没有autorun.inf这个东西…
 
下面是解决方案,大家仔细看看阿!
 
————————————————————————————————————-
 
lsass.exe病毒木马手工清除方法
lsass.exe病毒木马
lsass.exe病毒木马-病毒症状-手工清除方法
[b]病毒症状[/b]
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.
该病毒新建如下文件:
c:\program files\common files\INTEXPLORE.pif
c:\program files\internet explorer\INTEXPLORE.com
%SYSTEM\debug\debugprogram.exe
%SYSTEM\system32\Anskya0.exe
%SYSTEM\system32\dxdiag.com
%SYSTEM\system32\MSCONFIG.com
%SYSTEM\system32\regedit.com
%SYSTEM\system32\LSASS.exe
%SYSTEM\system32\EXERT.exe
[b]解决方法[/b]
1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)…",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1064".
[align=center][attach]9247[/attach][/align]
[align=center][attach]9248[/attach][/align]
2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑–>工具(T)–>文件夹选项(O)…–>查看–>选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.
截图如下:
[align=center][attach]9249[/attach][/align]
[align=center][attach]9250[/attach][/align]
[align=center][attach]9251[/attach][/align]
删除如下几个文件:
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.
3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
下面的 Check_Associations项
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下面的ToP项
将HKEY_CLASSES_ROOT\.exe的默认值修改为"exefile"(原来是windowsfile)
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1" (原来是intexplore.com)
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 的默认值修改为"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)
将HKEY_CLASSES_ROOT \ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
将HKEY_CLASSES_ROOT \htmlfile\shell\open\commandHKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)
重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕.Enjoy It .
[b]相关知识[/b]
进程文件:lsass或者lsass.exe
进程名称:local安全等级作者ityservice
描述:lsass.exe是一个关于微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略
出品者:microsoft corp.
属于:windows系统
系统进程:是
后台进程:是
使用网络:否
硬件相关:否
常见错误:未知
内存使用:未知
安全等级:0
间谍软件:否
广告软件:否
病毒:否
木马:否
Advertisements

2 Comments

Leave a Comment
  1. trace / Aug 12 2006 7:37 pm

    记得我们毕业答辩的时候也碰到过类似的情形,可能是第一个同学的U盘中带了这种病毒,结果答辩完之后几乎所有同学都染上了

  2. star / Oct 2 2006 2:52 am

    似乎许久你都没来了哦,看到照片好像比毕业的时候胖了一些:)
    去了日本呢,还是酷酷的师哥:)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: