彻底解决lsass.exe进程病毒

　lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

　　进程文件： lsass or lsass.exe

　　进程名称： Local Security Authority Service

　　进程类别：其他进程

　　英文描述：

　　lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. Note: lsass.exe also relates to the Windang.worm, irc.ratsou.b, Webus.B, MyDoom.L, Randex.AR, Nimos.worm which

　　中文参考：

　　对不起，暂时没有中文参考！

　　出品者：Microsoft Corp.

　　属于：Microsoft Windows Operating System

　　系统进程：Yes

　　后台程序：Yes

　　网络相关：Yes

　　常见错误：N/A

　　内存使用：N/A

　　安全等级 (0-5): 0

　　间谍软件：No

　　广告软件：No

　　病毒：No

　　如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联。在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。

　　下载个进程管理器，找出问题进程的路径，手动终止LSASS.EXE和exert.exe两个进程（管理器不能终止LSASS.EXE,提示系统进程不能终止），打开msconfig.exe取消LSASS.EXE启动项。删除C:Documents and SettingsAdministratorLocal Settingstempt和Temporary Internet Files下的文件,断开网络后再删除C:Program FilesCommon Filesupdate文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINESOFTWAREClasses.exe]

　　@="exefile"

　　"Content Type"="％1，%*"

　　[HKEY_LOCAL_MACHINESOFTWAREClasses.exePersistentHandler]

　　@=""

　　或用工具恢复注册表。

　　以WIN98为例:

　　打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！

　　windows xp下解决LSASS.exe进程病毒

　　一、准备工作：

　　打开“我的电脑”——工具——文件夹选项——查看

　　a、把“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”前面的勾去掉；

　　b、勾中“显示所有文件和文件夹”

　　二、结束进程

　　用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;

　　点到任务管理器进程面版，点击菜单，"查看"－"选择列"，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"——运行，输入"CMD"，点击"确定"打开命令行控制台。

　　输入"ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字，是当前用户名进程的PID，别看错了)"，比如我的计算机上就输入"ntsd –c q -p 1064".这样进程就结束了。（如果结束了又会出现，那么你还是用下面的方法吧）

　　（另外我强烈推荐大家用Process Explorer，很强的进程管理工具，可以直接结束想要结束的进程，以后用的时候很方便，使用和下载地址：http://www.gypin.com/bbs/dispbbs.asp?boardID=16&ID=1303page=1）

　　三、删除病毒文件

　　删除如下几个文件： （与WIN2000的目录有所不同）

　　C:Program FilesCommon FilesINTEXPLORE.pif （有的没有.pif）

　　C:Program FilesInternet ExplorerINTEXPLORE.com

　　C:WINDOWSEXERT.exe

　　C:WINDOWSIO.SYS.BAK

　　C:WINDOWSLSASS.exe

　　C:WINDOWSDebugDebugProgram.exe

　　C:WINDOWSsystem32dxdiag.com

　　C:WINDOWSsystem32MSCONFIG.COM

　　C:WINDOWSsystem32regedit.com

　　在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

　　四、删除注册表中的其他垃圾信息

　　将C:WINDOWS目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目：

　　1、HKEY_CLASSES_ROOTWindowFiles

　　2、HKEY_CURRENT_USERSoftwareVB and VBA Program Settings

　　3、HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 下面的 Check_Associations项

　　4、HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif

　　5、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面的ToP项

　　五、修复注册表中被篡改的键值

　　1、将HKEY_CLASSES_ROOT.exe的默认值修改为 "exefile"(原来是windowsfile)

　　2、将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand 的默认值修改为 "C:Program FilesInternet Exploreriexplore.exe" %1 (原来是intexplore.com)

　　3、将HKEY_CLASSES_ROOTCLSID\shellOpenHomePageCommand 的默认值修改为

　　"C:Program FilesInternet ExplorerIEXPLORE.EXE"(原来是INTEXPLORE.com)

　　4、将HKEY_CLASSES_ROOT ftpshellopencommand 和HKEY_CLASSES_ROOThtmlfileshellopennewcommand

　　的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

　　5、将HKEY_CLASSES_ROOT htmlfileshellopencommand 和

　　HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为

　　"C:Program FilesInternet Exploreriexplore.exe" –nohome

　　6、将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)

　　六、收尾工作

　　关掉注册表编辑器

　　将C:WINDOWS目录下的regedit.com改回regedit.exe