小心電腦病毒LSASS.EXE及清除方法

? ? ?大家都知道電腦已經逐漸代替許多繁瑣復雜的工作，不少單位企業也是靠電腦來進行日常運營的，物流行業及淘寶網店甚至是政府機構都是需要到電腦。電腦的正常運作會令公司單位在運營上得到很好的幫助，而且還是工作效率的一個保證，但是電腦出現問題故障更是令人最為頭痛的，而且出現問題故障不是簡簡單單地就可以解決，有時候還涉及硬件及軟件兩個方面，判斷起來就比較麻煩。

? ? ?電腦出現問題故障雖然是比較難判斷，不過出現問題故障的往往是軟件方面占的機率比較大一些，尤其是電腦病毒危害性最大，下面我們柏飛特多年廣州上門電腦維修的經驗來提醒大家要小心電腦病毒LSASS.EXE，雖然這是一個系統進程，用于WINDOWS系統的安全機制，不過它可能是病毒。這病毒是一個可以在WINDOWS操作系統下運行的盜號木馬，而且還會強行終止多種殺毒軟件的進程，會頻繁檢查游戲的登陸窗口，記錄鼠標的位置及鍵盤的按鍵情況，把記錄信息發送到指定郵箱，這樣用戶的賬號密碼就會被人修改或者是盜取物品。

? ? ?診斷是否中毒方法很簡單，打開MSCONFIG里面的啟動項看看里面是否有一個名為LSASS.EXE的啟動選項，并且打開任務管理器看看進程里是否有兩個相同的進程，分別為LSASS.EXE和lsass.exe，如果有那么就證明你中招了。

? ? ?清除方法也是比較復雜的，需要手動來進行而且還要按步驟，大家務必要看清楚不要操作失誤。1把所有隱藏文件來文件夾都打開而且把后綴名和受保護的操作系統文件也要打開。

? ? ?2調出windows務管理器(Ctrl+Alt+Del),發現通過簡單的右擊當前用戶名的lsass.exe來結束進程是行不通的，會彈出該進程為系統進程無法結束的提醒框，鼠標右鍵點擊“任務欄”，選擇“任務管理器”。點擊菜單“查看(V)”－>“選擇列(S)…”，在彈出的對話框中選擇“PID（進程標識符）”，并點擊“確定”。找到映象名稱為“LSASS.exe”，并且用戶名不是“SYSTEM”的一項，記住其PID號，點擊開始菜單中的“運行”，輸入“CMD”，點擊”確定”打開命令行控制臺。輸入“ntsd –c q -p (PID)”，比如我的計算機上就輸入“ntsd –c q -p 1064”。

? ? ?3刪除下面目錄的文件：C:\Program Files\Common Files\INTEXPLORE.pif；C:\Program Files\Internet Explorer\INTEXPLORE.com；C:\WINDOWS\EXERT.exe；C:\WINDOWS\IO.SYS.BAK；C:\WINDOWS\LSASS.exe；C:\WINDOWS\Debug\DebugProgram.exe；C:\WINDOWS\system32\dxdiag.com；C:\WINDOWS\system32\MSCONFIG.COM；C:\WINDOWS\system32\regedit.com；在D:盤上點擊鼠標右鍵，選擇“打開”。刪除掉該分區根目錄下的”Autorun.inf”和”command.com”文件。

? ? ?4最后一步了，修改注冊表：將Windows目錄下的”regedit.exe”改名為”regedit.com”并運行，刪除以下項目： HKEY_CLASSES_ROOT\WindowFiles；HKEY_CURRENT_USER\Software\VB and VBA Program Settings；HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations項；HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif；HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP項；

? ? ?將HKEY_CLASSES_ROOT\.exe的默認值修改為”exefile”(原來是windowsfile)；將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默認值修改為”C:\Program Files\Internet Explorer\iexplore.exe” %1″ (原來是intexplore.com) ；將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 的默認值修改為”C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原來是INTEXPLORE.com)；將HKEY_CLASSES_ROOT \ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command；的默認值修改為”C:\Program Files\Internet Explorer\iexplore.exe” %1″(原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)；將HKEY_CLASSES_ROOT \htmlfile\shell\open\commandHKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為”C:\Program Files\Internet Explorer\iexplore.exe” –nohome”；將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默認值修改為”IEXPLORE.EXE”(原來是INTEXPLORE.pif)

? ? ?重新將Windows目錄下的regedit擴展名改回exe，至此病毒清除成功，注冊表修復完畢。