病毒症狀

進程裏麵有2個lsass.exe進程,一個是（shì）system的,一（yī）個是當前用戶名的(該進程為病毒).雙擊D:盤打（dǎ）不開,隻能通過右擊選擇打開來打開.用kaspersky掃（sǎo）描可以掃（sǎo）描出來,並（bìng）且可（kě）以殺掉.但是重啟後又有兩個lsass.exe進程.該病毒（dú）是一（yī）個木馬程（chéng）序,中毒後（hòu）會在D盤根目錄下產生command.com和autorun.inf兩個文件，同（tóng）時（shí）侵入注冊表破壞係統文件關聯.該病毒修改注冊表啟動（dòng）RUN鍵值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的（de）.exe，exefile鍵值，並新建windowfile鍵值.將exe文件打開鏈接關（guān）聯到（dào）其（qí）生成的病毒程序%SYSTEM\EXERT.exe上.

若是嫌太麻（má）煩，直接下載專殺工具。

lsass.exe專殺工具下載

該病毒新建如（rú）下文件:

c:\newtro文件夾

c:\program files\common files\INTEXPLORE.pif

c:\program files\internet explorer\INTEXPLORE.com

%SYSTEM\debug\debugprogram.exe

%SYSTEM\system32\Anskya0.exe

%SYSTEM\system32\dxdiag.com

%SYSTEM\system32\MSCONFIG.com

%SYSTEM\system32\regedit.com

%SYSTEM\system32\LSASS.exe

%SYSTEM\system32\EXERT.exe

解決方法

1.結束（shù）進程:調出windows務（wù）管理器(Ctrl+Alt+Del),發現通（tōng）過簡單的右擊當前用戶名的（de）lsass.exe來結束進程是行不通的.會彈出該進程為係統進程無法結束的（de）提醒框;鼠標右鍵點擊"任務欄"，選擇"任務管理器"。點擊（jī）菜單"查看(V)"－>"選擇列(S)..."，在彈出的對話框中選擇"PID（進程標識符）"，並點擊"確定"。找到映象名稱為"LSASS.exe"，並且用戶名不是"SYSTEM"的一項，記住其PID號.點擊"開始（shǐ）"-->“運行”，輸入（rù）"CMD"，點擊"確定"打開命令行控製台。輸入"ntsd –c q -p (PID)"，比如我的計算機上就輸入"ntsd –c q -p 1132".

2.刪除病毒文件:以下要刪除的（de）文件大多是（shì）隱藏文（wén）件所以要首先設置顯示所有的隱藏文件、係統文件並顯示文件擴展名;我的（de）電腦-->工具(T)-->文件夾選項(O)...-->查看-->選擇"顯示所有文件和文（wén）件（jiàn）夾",並把隱藏受保護的（de）操作係統文件(推薦)前的勾（gōu）去掉,這（zhè）時會彈出一個警告,選擇是.至此就顯示（shì）了所有的隱藏文件了(友情提示:待你把病毒清除後,請把"隱藏受保護的操作係統（tǒng）文件（jiàn）"打上鉤,要不然以後很容易誤刪（shān）東西哦).

截圖如下:

刪除如下幾個文件：

C:\NEWTRO文件夾

C:\Program Files\Common Files\INTEXPLORE.pif

C:\Program Files\Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

在D:盤上點（diǎn）擊鼠標右鍵，選擇“打開”(直接雙（shuāng）擊打開會使病毒自動（dòng）運行!)。刪（shān）除掉該分區根目錄下的"Autorun.inf"和（hé）"command.com"文件.

3.刪除注冊表中的其他垃圾信息.這個病毒該寫的注冊表位置相（xiàng）當多，如果不進行修複將會有一些係統（tǒng）功能發生異常。

將Windows目錄下的"regedit.exe"改名為"regedit.com"並運行，刪除以下（xià）項目:

HKEY_CLASSES_ROOT\WindowFiles

HKEY_CURRENT_USER\Software\VB and VBA Program Settings

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下麵的 Check_Associations項

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下麵的ToP項

將HKEY_CLASSES_ROOT\.exe的（de）默（mò）認（rèn）值修改為exefile(原來是windowsfile)

將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默認值（zhí）修改為

"C:\Program Files\Internet Explorer\iexplore.exe" %1(原來是intexplore.com)

將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

的默認值修改為"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)

將HKEY_CLASSES_ROOT \ftp\shell\open\command

和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1

(原來的值分（fèn）別是INTEXPLORE.com和（hé）INTEXPLORE.pif)

將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和

HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為（wéi）

"C:\Program Files\Internet Explorer\iexplore.exe" –nohome

將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

的默認值修改為IEXPLORE.EXE.(原來是INTEXPLORE.pif)

重新將（jiāng）Windows目錄下的regedit擴展名改回exe，至此病毒清除成功，注冊表修複完畢.Enjoy It .

(我在按（àn）易博兄的步驟作到這一步時,發現係統自動生成了一個regedit.exe,那麽你把regedit.com刪除就可以了)

--------------------------------------------------------------------------------

相關知識

進（jìn）程文件:lsass或者lsass.exe

進程名稱:local安全等級（jí）作者ityservice

描述:lsass.exe是一個關於微軟（ruǎn）安全機製的係統進程，主要處理一些特殊的安全機製和登錄策略

出品者:microsoft corp.

屬於:windows係統（tǒng）

係統（tǒng）進程:是

後台進程:是

使用網絡:否

硬件相關:否

常見錯誤:未知（zhī）

內存使用:未知

安全等級:0

間諜軟件:否

廣告軟件:否

病毒:否

木馬:否