北京点亮心灯活动貔恘:lsass.exe病毒怎么处理？

呵呵 要是有那么厉害的话 建议你在安全模式下去看看吧
先把那个进程给结束掉 再在其所在的位置把哪个程序删掉 再到注册表中去搜索lsass.exe 见到就给删掉 这样的话就应该行了吧

你有几个lsass.exe进程？

请按以下几个步骤做，先存为几个文件，然后按文件指示做。如果不会手工结束进程，将文件存入C盘根目录，然后重启电脑按F8进入WindowsXP的 安 全 命 令 行 模式下输入c:\[回车]cd\[回车]del read.txt[回车]killlsas.bat[回车]：

1、===========以下文字粘贴复制存成名为read.txt的文件==============

结束病毒进程

1、鼠标右键点击“任务栏”，选择“任务管理器”。点击菜单“查看”－>“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。

2、找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号。

3、点击“开始”－》“运行”，输入“CMD”，点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”，比如我的计算机上就输入“ntsd –c q -p 1464”。

请您试着现在结束这个木马进程

2、=======请将以下文字粘贴复制成名为reg.txt的文件=================
Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\WindowFiles]

[-HKEY_CURRENT_USER\Software\VB and VBA Program Settings]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Check_Associations"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Top"=-

[HKEY_CLASSES_ROOT\.exe]
@="exefile"

[HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"

[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""

[HKEY_CLASSES_ROOT\ftp\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"

[HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"

[HKEY_CLASSES_ROOT\htmlfile\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" –nohome"

[HKEY_CLASSES_ROOT\HTTP\shell\open\command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" –nohome"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet]
@="IEXPLORE.EXE"

3、=====请将以下文字粘贴复制存成名为KillLsass.bat的文件===========

@type read.txt
@pause
@echo off
del /f/a c:\program files\common files\INTEXPLORE.pif
del /f/a c:\program files\internet explorer\INTEXPLORE.com
del /f/a c:\windows\debug\debugprogram.exe
del /f/a c:\windows\system32\dxdiag.com
del /f/a c:\windows\system32\MSCONFIG.com
del /f/a c:\windows\system32\regedit.com
del /f/a c:\windows\LSASS.exe
del /f/a c:\windows\system32\EXERT.exe
del /f/a d:\autorun.inf
del /f/a d:\command.com
del /f/a C:\WINDOWS\IO.SYS.BAK
del /f/a c:\WINDOWS\MSCONFIG.COM
copy c:\windows\regedit.exe .\regXXX.com
echo on
rem 将导入注册表文件,请点击确定。
@pause
@regXXX reg.txt
@cls
rem 一切结束了,HOHOOO~
@pause
@del /q regxxx.com

4、=================请运行KillLsass.bat=========================

进程文件： lsass 或者 lsass.exe
进程名称： Local Security Authority Service
进程名称： lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。
出品者： Microsoft Corp.
属于： Microsoft Windows Operating System

如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联，以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！
在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。下载个进程管理器，找出问题进程的路径，手动终止LSASS.EXE和exert.exe两个进程（管理器不能终止LSASS.EXE,提示系统进程不能终止），打开msconfig.exe取消LSASS.EXE启动项。删除C:\Documents and Settings\Administrator\Local Settings\tempt和Temporary Internet Files下的文件,断开网络后再删除C:\Program Files\Common Files\update文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]
@="exefile"
"Content Type"="％1，%*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
或用工具恢复注册表。