病毒症状
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM/EXERT.exe上.

该病毒新建如下文件:

c:/newtro文件夹
c:/program files/common files/INTEXPLORE.pif
c:/program files/internet explorer/INTEXPLORE.com
%SYSTEM/debug/debugprogram.exe
%SYSTEM/system32/Anskya0.exe
%SYSTEM/system32/dxdiag.com
%SYSTEM/system32/MSCONFIG.com
%SYSTEM/system32/regedit.com
%SYSTEM/system32/LSASS.exe
%SYSTEM/system32/EXERT.exe

解决方法

1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-->“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1132".

2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了(友情提示:待你把病毒清除后,请把"隐藏受保护的操作系统文件"打上钩,要不然以后很容易误删东西哦).
截图如下:

删除如下几个文件:

C:/NEWTRO文件夹
C:/Program Files/Common Files/INTEXPLORE.pif
C:/Program Files/Internet Explorer/INTEXPLORE.com
C:/WINDOWS/EXERT.exe
C:/WINDOWS/IO.SYS.BAK
C:/WINDOWS/LSASS.exe
C:/WINDOWS/Debug/DebugProgram.exe
C:/WINDOWS/system32/dxdiag.com
C:/WINDOWS/system32/MSCONFIG.COM
C:/WINDOWS/system32/regedit.com

在D:盘上点击鼠标右键,选择“打开”(直接双击打开会使病毒自动运行!)。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。

将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:
HKEY_CLASSES_ROOT/WindowFiles
HKEY_CURRENT_USER/Software/VB and VBA Program Settings
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main下面的 Check_Associations项
HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下面的ToP项

将HKEY_CLASSES_ROOT/.exe的默认值修改为exefile(原来是windowsfile)

将HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command的默认值修改为
"C:/Program Files/Internet Explorer/iexplore.exe" %1(原来是intexplore.com)

将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command
的默认值修改为"C:/Program Files/Internet Explorer/IEXPLORE.EXE"(原来是INTEXPLORE.com)

将HKEY_CLASSES_ROOT /ftp/shell/open/command
和HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command
的默认值修改为"C:/Program Files/Internet Explorer/iexplore.exe" %1
(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

将HKEY_CLASSES_ROOT /htmlfile/shell/open/command 和
HKEY_CLASSES_ROOT/HTTP/shell/open/command的默认值修改为
"C:/Program Files/Internet Explorer/iexplore.exe" –nohome

将HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet
的默认值修改为IEXPLORE.EXE.(原来是INTEXPLORE.pif)

重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕.Enjoy It .

转自 : https://blog.csdn.net/lykycs/article/details/802810

lsass 病毒手动清除方法的更多相关文章

  1. 常见AutoCAD病毒(acad.fas、acad.lsp)清除方法

    常见AutoCAD病毒(acad.fas.acad.lsp)清除方法 acad.fas.acad.lsp这两种病毒是最常见的CAD病毒了,而且往往同一时候出现.因为其本身对系统并不具备危害性,不过恶作 ...

  2. 手动清除memcached缓存方法

    1.查memcache状态/usr/bin/perl /usr/local/src/memcached-1.4.5/scripts/memcached-tool localhost:11211或者te ...

  3. Kali Linux Web后门工具、Windows操作系统痕迹清除方法

    Kali Linux Web后门工具 Kali的web后门工具一共有四款,今天只介绍WebaCoo 首先介绍第一个WeBaCoo(Web Backdoor Cookie) WeBaCoo是一款隐蔽的脚 ...

  4. STM32的RTC中断标志只能手动清除

    背景: 最近在做一个stm32的项目,其中用到RTC的实时时钟功能.时钟源采用外部32.768K晶振,时钟预分频设置为32767,目的是为了产生1秒的中断,然后在中断处理函数中更新实时年月日时分秒. ...

  5. quartz2.3.0(九)job任务监听器,监听任务执行前、后、取消手动处理方法

    job1任务类 package org.quartz.examples.example9; import java.util.Date; import org.quartz.Job; import o ...

  6. 手动清除mac的广告弹框病毒 MacOSDefender

    最近在浏览亚马逊, 京东的时候, 发现会自动弹出很多广告到浏览器, 其实是中了病毒MacOSDefender. 这个病毒非常烦人, 会在你浏览电商网页的时候拼命的打开广告页面, 而且还会弹出一些提示, ...

  7. iOS中 SDWebImage手动清除缓存的方法 技术分享

    1.找到SDImageCache类 2.添加如下方法: - (float)checkTmpSize { float totalSize = 0; NSDirectoryEnumerator *file ...

  8. 关于winlogo.exe中了“落雪”病毒的解决方法

    Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出.该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行,若不是 ...

  9. Linux环境下查看历史操作命令及清除方法

    在Linux环境中可以通过方向键的上下按键查看近期键入的命令.但这种方法只能一个一个的查看,其实系统提供了查看所有历史命令的方法. 在终端中输入以下命令查看所有命令: history [root@te ...

随机推荐

  1. EasyUI学习总结(三)——easyloader源码分析(转载)

    声明:这一篇文章是转载过来的,转载地址忘记了,原作者如果看到了,希望能够告知一声,我好加上去! easyloader模块是用来加载jquery easyui的js和css文件的,而且它可以分析模块的依 ...

  2. CentOS禁止packagekit离线更新服务的办法

    以CentOs7为例,以root身份登录系统,然后执行以下命令: [root@localhost ~]# systemctl disable packagekit-offline-update.ser ...

  3. springboot2.X 集成redis+消息发布订阅

    需求场景:分布式项目中,每个子项目有各自的 user 数据库, 在综合管理系统中存放这所有用户信息, 为了保持综合管理系统用户的完整性, 子系统添加用户后将用户信息以json格式保存至redis,然后 ...

  4. WHY数学表达式的3D可视化

    WHY数学表达式的3D可视化 很早之前我就有这种想法,将数学表达式的图形显示出来.最近终于实现了这套较为完善的版本,将其代码公布,也为开源做点贡献.首先系统中定义一套脚本语言格式,用于描述数学表达式. ...

  5. 分布式文件系统---GlusterFS

    1.1 分布式文件系统 1.1.1 什么是分布式文件系统 相对于本机端的文件系统而言,分布式文件系统(英语:Distributed file system, DFS),或是网络文件系统(英语:Netw ...

  6. ShardedJedisPool的使用

    package com.test; import java.util.ArrayList; import java.util.List; import redis.clients.jedis.Jedi ...

  7. Ubuntu18.04命令行连接WiFi

    查看是否已经正确安装无线网卡 iwconfig .启动无线网卡, 如果网卡是wlan0 # 方式1 ifconfig wlan0 up # 或者方式2 ip link set wlan0 up .扫描 ...

  8. Android——媒体库 相关知识总结贴

    Android媒体库 http://www.apkbus.com/android-19283-1-1.html Android本地图片选择打开媒体库,选择图片 http://www.apkbus.co ...

  9. php Date()函数输出中文年月日时分秒

    当然了,PHP的DATE函数是不可能直接输出中文的年月日的,但可以用下面这种方法自己写一个函数. 代码如下 复制代码 function today(){ date_default_timezone_s ...

  10. ES 安装 head安装

    https://www.elastic.co/downloads/elasticsearch http://www.cnblogs.com/xuxy03/p/6039999.html https:// ...