小心电脑病毒LSASS.EXE及清除方法

     大家都知道电脑已经逐渐代替许多繁琐复杂的工作，不少单位企业也是靠电脑来进行日常运营的，物流行业及淘宝网店甚至是政府机构都是需要到电脑。电脑的正常运作会令公司单位在运营上得到很好的帮助，而且还是工作效率的一个保证，但是电脑出现问题故障更是令人最为头痛的，而且出现问题故障不是简简单单地就可以解决，有时候还涉及硬件及软件两个方面，判断起来就比较麻烦。

     电脑出现问题故障虽然是比较难判断，不过出现问题故障的往往是软件方面占的机率比较大一些，尤其是电脑病毒危害性最大，下面我们柏飞特多年广州上门电脑维修的经验来提醒大家要小心电脑病毒LSASS.EXE，虽然这是一个系统进程，用于WINDOWS系统的安全机制，不过它可能是病毒。这病毒是一个可以在WINDOWS操作系统下运行的盗号木马，而且还会强行终止多种杀毒软件的进程，会频繁检查游戏的登陆窗口，记录鼠标的位置及键盘的按键情况，把记录信息发送到指定邮箱，这样用户的账号密码就会被人修改或者是盗取物品。

     诊断是否中毒方法很简单，打开MSCONFIG里面的启动项看看里面是否有一个名为LSASS.EXE的启动选项，并且打开任务管理器看看进程里是否有两个相同的进程，分别为LSASS.EXE和lsass.exe，如果有那么就证明你中招了。

     清除方法也是比较复杂的，需要手动来进行而且还要按步骤，大家务必要看清楚不要操作失误。1把所有隐藏文件来文件夹都打开而且把后缀名和受保护的操作系统文件也要打开。

     2调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的，会弹出该进程为系统进程无法结束的提醒框，鼠标右键点击“任务栏”，选择“任务管理器”。点击菜单“查看(V)”－>“选择列(S)…”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号，点击开始菜单中的“运行”，输入“CMD”，点击”确定”打开命令行控制台。输入“ntsd –c q -p (PID)”，比如我的计算机上就输入“ntsd –c q -p 1064”。

     3删除下面目录的文件：C:\Program Files\Common Files\INTEXPLORE.pif；C:\Program Files\Internet Explorer\INTEXPLORE.com；C:\WINDOWS\EXERT.exe；C:\WINDOWS\IO.SYS.BAK；C:\WINDOWS\LSASS.exe；C:\WINDOWS\Debug\DebugProgram.exe；C:\WINDOWS\system32\dxdiag.com；C:\WINDOWS\system32\MSCONFIG.COM；C:\WINDOWS\system32\regedit.com；在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的”Autorun.inf”和”command.com”文件。

     4最后一步了，修改注册表：将Windows目录下的”regedit.exe”改名为”regedit.com”并运行，删除以下项目： HKEY_CLASSES_ROOT\WindowFiles；HKEY_CURRENT_USER\Software\VB and VBA Program Settings；HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项；HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif；HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项；

     将HKEY_CLASSES_ROOT\.exe的默认值修改为”exefile”(原来是windowsfile)；将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为”C:\Program Files\Internet Explorer\iexplore.exe” %1″ (原来是intexplore.com) ；将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 的默认值修改为”C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原来是INTEXPLORE.com)；将HKEY_CLASSES_ROOT \ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command；的默认值修改为”C:\Program Files\Internet Explorer\iexplore.exe” %1″(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)；将HKEY_CLASSES_ROOT \htmlfile\shell\open\commandHKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为”C:\Program Files\Internet Explorer\iexplore.exe” –nohome”；将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为”IEXPLORE.EXE”(原来是INTEXPLORE.pif)

     重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕。