lsass.病毒清除方法lsass.doc

1、lsass.exe病毒去除方法 lsassexe什么是lsass.e_e？lsass.e_e是一个系统进程，用于微软Windows系统的平安机制。它用于本地平安和登陆策略。注意：lsass.e_e也有可能是 Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Rande_.AR、Nimos.worm创立的，病毒通过软盘、群发邮件和P2P文件共享进展传播lsass.e_e病毒的诊断假如你的启动菜单开场-运行-输入“msconfig”里有个lsass.e_e启动项，那就证明你的lsass.e_e是木马病毒，中毒后，在进程里可以见到有两个一样的进程，分别是lsass

2、.e_e和LSASS.E_E，同时在windows下生成LSASS.E_E和e_ert.e_e 两个可执行文件，且在后台运行，LSASS.E_E管理e_e类执行文件，e_ert.e_e管理程序退出，还会在D盘根目录下产生 mand.和 autorun.inf两个文件，同时侵入注册表破坏系统文件关联。lsass.e_e病毒的去除一、准备工作翻开“我的电脑”-工具-文件夹选项-查看a、把“隐藏受保护的操作系统文件推荐”和“隐藏文件类型的扩展名”前面的勾去掉；b、勾中“显示所有文件和文件夹”二、完毕进程1、用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.e_e

3、来完毕进程是行不通的.会弹出该进程为系统进程无法完毕的提醒框;2、点到任务管理器进程面版，点击菜单，“查看”“选择列”，在弹出的对话框中选择“PID进程标识符”，并点击“确定”。找到映象名称为 “LSASS.e_e”，并且用户名不是“SYSTEM”的一项，记住其PID号.点击“开场”-运行，输入“CMD”，点击“确定”翻开命令行控制台。3、输入“ntsd –c q -p (此红色局部填写你在任务管理器里看到的LSASS.E_E的PID列的数字，是当前用户名进程的PID，别看错了)”，比方我的计算机上就输入“ntsd –c q -p 1064”.这样进程就

4、完毕了。三、删除病毒文件删除如下几个文件：C:Program Filesmon FilesINTE_PLORE.pif 有的没有.pifC:Program FilesInter E_plorerINTE_PLORE.C:WINDOWSE_ERT.e_e 或者e_eroute.e_eC:WINDOWSIO.SYS.BAKC:WINDOWSLSASS.e_eC:WINDOWSDebugDebugProgram.e_eC:WINDOWSsystem32d_diag.C:WINDOWSsystem32MSCONFIG.C:WINDOWSsystem32regedit.在D:盘上点击鼠标右键，选择“翻开

5、”。删除掉该分区根目录下的“Autorun.inf”和“mand.”文件.四、删除注册表中的其他垃圾信息将C:WINDOWS目录下的“regedit.e_e”改名为“regedit.”并运行，删除以下工程：1、HKEY_CLASSES_ROOTWindowFiles2、HKEY_CURRENT_USERSoftwareVB and VBA Program Settings3、HKEY_CURRENT_USERSoftwareMicrosoftInter E_plorerMain 下面的 Check_Associations项4、HKEY_LOCAL_MACHINESOFTWAREClients

6、StartMenuInterINTE_PLORE.pif5、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面的ToP项五、修复注册表中被篡改的键值1、将HKEY_CLASSES_ROOT.e_e的默认值修改为 “e_efile”(原来是windowsfile)2、将HKEY_CLASSES_ROOTApplicationsie_plore.e_eshellopenmand 的默认值修改为 “C:Program FilesInter E_plorerie_plore.e_e” %1 (原来是inte_plore.)3、将

7、HKEY_CLASSES_ROOTCLSID871C5380-42A0-1069-A2EA-08002B30309D shellOpenHomePagemand 的默认值修改为“C:Program FilesInter E_plorerIE_PLORE.E_E”(原来是INTE_PLORE.)4、将HKEY_CLASSES_ROOT ftpshellopenmand 和HKEY_CLASSES_ROOTfileshellopennewmand 的默认值修改为“C:Program FilesInter E_plorerie_plore.e_e” %1 (原来的值分别是INTE_PLORE.和IN

8、TE_PLORE.pif)5、将HKEY_CLASSES_ROOT fileshellopenmand 和 HKEY_CLASSES_ROOTshellopenmand的默认值修改为 “C:Program FilesInter E_plorerie_plore.e_e” –nohome6、将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInter 的默认值修改为“IE_PLORE.E_E”.(原来是INTE_PLORE.pif)六、关掉注册表编辑器将C:WINDOWS目录下的regedit.改回regedit.e_e，假如提示有重名文件存在，不能更改，可以先将重名的regedit.e_e删除，再将