欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

LSASS.EXE中招亲历记+完美解决方案

来源:www.hack58.net 作者:佚名 时间:2006-09-15 TAG: 我要投稿

我的电脑安全环境

SP1.

配置Intel(R) Pentiun(R) 4 CPU 2.40GHz 512M的内存

开了天网,咖啡8.0I 还有ewido



QUOTE:

  中招经过,只因去一个常看电影的网站,中午无聊想看龙虎门,直点收藏夹,那站没想到被人看上了,进去后,当时电脑就卡着了,死机了,好不容易强制关掉GB ,进程一看,多了N个进程.禁止,点运行msconfig,完全没有任何反应,网络都上不了,只能脱机打开百度.

  一打开任务管理器,哇,蒙了.都成双的来了,最最最厉害的就是这个家伙居然产生两个进程,都是很常见的,LSASS.跟CTFMON,根本就禁止不掉的,一点禁止就会跳出该进程为系统进程.

  无奈进入安全模式,全部显示文件+隐藏文件,先用cureit.exe,没想到,厉害,这个文件只能打开前面那个start界面,后面就说不能进行啥滴,反正是英文,不懂,然后用HJ扫,(可惜所有的都不在了,今天偶重装系统了,不是因为病毒,是因为网卡的原因)修复,修了再修还是无效,用EW扫,都无效,只能治标不治本.

  正常的系统进程都在system下面的,这几个产生的都是直接在windows下面的,去删除,但是只要一运行msconfig就会自动产生lsass.exe这个进程了,郁闷,不过我是先进了临时文件夹删除了一些东西,都是那些LJ坏蛋安装包.

  所有的软件搞不定,只能动手在同事的电脑上搜索了一篇,最全的解决方案,命真好,一搜就到了:)





==========最全面的LSASS.EXE解决方法==========



QUOTE:
正文开始:

以windows xp为例

一、准备工作:

打开“我的电脑”——工具——文件夹选项——查看
a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;
b、勾中“显示所有文件和文件夹”

二、结束进程

用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;

点到任务管理器进程面版,点击菜单,"查看"-"选择列",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"——运行,输入"CMD",点击"确定"打开命令行控制台。

输入"ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字,是当前用户名进程的PID,别看错了)",比如我的计算机上就输入"ntsd –c q -p 1064".这样进程就结束了。(如果结束了又会出现,那么你还是用下面的方法吧)

进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).
用EWIDO可以直接禁止结束掉的,但是这个上面那个在DOS下面的也很不错的哦!

三、删除病毒文件

删除如下几个文件: (与WIN2000的目录有所不同)

C:/Program Files/Common Files/INTEXPLORE.pif (有的没有.pif)

C:/Program Files/Internet Explorer/INTEXPLORE.com 

C:/WINDOWS/EXERT.exe 

C:/WINDOWS/IO.SYS.BAK 

C:/WINDOWS/LSASS.exe 

C:/WINDOWS/Debug/DebugProgram.exe 

C:/WINDOWS/system32/dxdiag.com 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载