欢迎访问拔笔兔范文大全网!

lsass.exe病毒清除方法

天下 分享 时间: 加入收藏 我要投稿 点赞
什么是lsass.exe?
lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是 Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播

lsass.exe病毒的诊断
如果你的启动菜单(开始-运行-输入“msconfig”)里有个lsass.exe启动项,那就证明你的lsass.exe是木马病毒,中毒后,在进程里可以见到有两个相同的进程,分别是lsass.exe和LSASS.EXE,同时在windows下生成LSASS.EXE和exert.exe 两个可执行文件,且在后台运行,LSASS.EXE管理exe类执行文件,exert.exe管理程序退出,还会在D盘根目录下产生 command.com和 autorun.inf两个文件,同时侵入注册表破坏系统文件关联。

lsass.exe病毒的清除
一、准备工作
打开“我的电脑”——工具——文件夹选项——查看

a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;

b、勾中“显示所有文件和文件夹”

二、结束进程
1、用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;

2、点到任务管理器进程面版,点击菜单,“查看”-“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。找到映象名称为 “LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号.点击“开始”——运行,输入“CMD”,点击“确定”打开命令行控制台。

3、输入“ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字,是当前用户名进程的PID,别看错了)”,比如我的计算机上就输入“ntsd –c q -p 1064”.这样进程就结束了。

三、删除病毒文件
删除如下几个文件:

C:\Program Files\Common Files\INTEXPLORE.pif (有的没有.pif)

C:\Program Files\Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe (或者exeroute.exe)

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件.

四、删除注册表中的其他垃圾信息
将C:\WINDOWS目录下的“regedit.exe”改名为“regedit.com”并运行,删除以下项目:

1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings

3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项

4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项

五、修复注册表中被篡改的键值
1、将HKEY_CLASSES_ROOT\.exe的默认值修改为 “exefile”(原来是windowsfile)

2、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来是intexplore.com)

3、将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原来是INTEXPLORE.com)

4、将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默认值修改为“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

5、将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和   HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为 “C:\Program Files\Internet Explorer\iexplore.exe” –nohome

6、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为“IEXPLORE.EXE”.(原来是INTEXPLORE.pif)

六、关掉注册表编辑器
将C:\WINDOWS目录下的regedit.com改回regedit.exe,如果提示有重名文件存在,不能更改,可以先将重名的regedit.exe删除,再将regedit.com改为regedit.exe。

看上面的清除lsass.exe病毒的方法来看,说明中了lsass.exe病毒后清除lsass.exe病毒还是很复杂的,因此需要时时检测自己的电脑是否中毒,若中毒,及时清除病毒以免受感染。
信息流广告 网络推广 周易 易经 代理招生 二手车 网络营销 招生代理 旅游攻略 非物质文化遗产 查字典 精雕图 戏曲下载 抖音代运营 易学网 互联网资讯 成语 成语故事 诗词 工商注册 注册公司 抖音带货 云南旅游网 网络游戏 代理记账 短视频运营 在线题库 国学网 知识产权 抖音运营 雕龙客 雕塑 奇石 散文 自学教程 常用文书 河北生活网 好书推荐 游戏攻略 心理测试 好做题 石家庄人才网 考研真题 汉语知识 心理咨询 手游安卓版下载 兴趣爱好 网络知识 十大品牌排行榜 商标交易 单机游戏下载 短视频代运营 宝宝起名 范文网 电商设计 职业培训 免费发布信息 服装服饰 律师咨询 搜救犬 Chat GPT中文版 经典范文 优质范文 工作总结 二手车估价 实用范文 爱采购代运营 古诗词 衡水人才网 石家庄点痣 养花 名酒回收 石家庄代理记账 女士发型 搜搜作文 石家庄人才网 铜雕 词典 围棋 chatGPT 读后感 玄机派 企业服务 法律咨询 chatGPT国内版 chatGPT官网 励志名言 河北代理记账公司 文玩 朋友圈文案 语料库 游戏推荐 男士发型 高考作文 PS修图 儿童文学 买车咨询 工作计划 礼品厂 舟舟培训 IT教程 手机游戏推荐排行榜 暖通,电采暖, 女性健康 苗木供应 主题模板 短视频培训 优秀个人博客 包装网 创业赚钱 养生 民间借贷律师 绿色软件 安卓手机游戏 手机软件下载 手机游戏下载 单机游戏大全 免费软件下载 网赚 手游下载 游戏盒子 职业培训 资格考试 成语大全 英语培训 艺术培训 少儿培训 苗木网 雕塑网 好玩的手机游戏推荐 汉语词典 中国机械网 美文欣赏 红楼梦 道德经 网站转让 鲜花
44220
领取福利

微信扫码领取福利

微信扫码分享