lsass.exe进程详细介绍
lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。
该进程是多个Windows系统服务的宿主。包括:1)HTTPSSL,通过安全套接字层(SSL)实现HTTP服务的安全超文本传送协议(HTTPS)。2)IPSECServices,提供TCP/IP网络上客户端和服务器之间端对端的安全,如果此服务被停用,网络上客户端和服务器之间的TCP/IP安全将不稳定。3)KerberosKeyDistributionCenter,在域控制器上此服务启用用户使用Kerberos授权协议登录网络。如果此服务在域控制器上被停用,用户将无法登录网络。4)NetLogon,为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用,计算机可能无法验证用户和服务身份并且域控制器无法注册DNS记录。5)NTLMSecuritySupportProvider,为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。6)ProtectedStorage,保护敏感数据(如私钥)的存储,以便防止未授权的服务、过程或用户对其的非法访问。如果此服务被停用,保护性存储将不可用。7)SecurityAccountsManager,此服务的启动通知其他服务安全帐户管理(SAM)准备好接收请求。禁用此服务将使系统中的其他服务接收不到SAM准备好的通知,从而导致这些服务启动不正确。此服务不应被禁用。
注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
因这个进程为系统进程,强行结束将会出现倒计时关机的字样,只能重新启动.
如果你的启动菜单(开始-运行-输入“msconfig”)里有个lsass.exe启动项,那就证明你的lsass.exe是木马病毒,中毒后,在进程里可以见到有两个相同的进程,分别是lsass.exe和LSASS.EXE,同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行,LSASS.EXE管理exe类执行文件,exert.exe管理程序退出,还会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联。以下说一下本人对该病毒的杀法,以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件(本人用金山毒霸2006)全面杀毒,清除余下的病毒!
其实这也只是个治标不治本的方法,对付仿冒LSASS进程的处理相对是比较简单,但是镜像劫持该进程的话,可以用镜像劫持修复工具进行修复,但是如果病毒注入了LSASS进程的话,处理就要复杂多了,建议重新装下系统。
windowsXP如何手工清除lsass.exe病毒
一、准备工作:
打开“我的电脑”——工具——文件夹选项——查看
a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;
b、勾中“显示所有文件和文件夹”
二、结束进程
用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;
点到任务管理器进程面版,点击菜单,“查看”-“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号.点击“开始”——运行,输入“CMD”,点击“确定”打开命令行控制台。
输入“ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字,是当前用户名进程的PID,别看错了)”,比如我的计算机上就输入“ntsd –c q -p 1064”.这样进程就结束了。(如果结束了又会出现,那么你还是用下面的方法吧)
三、删除病毒文件
删除如下几个文件: (与WIN2000的目录有所不同)
C:\Program Files\Common Files\INTEXPLORE.pif (有的没有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe (或者exeroute.exe)
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件.
四、删除注册表中的其他垃圾信息
将C:\WINDOWS目录下的“regedit.exe”改名为“regedit.com”并运行,删除以下项目:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项
五、修复注册表中被篡改的键值(红色部分为需要信息)
1、将HKEY_CLASSES_ROOT\.exe的默认值修改为 “exefile”(原来是windowsfile)
2、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来是intexplore.com)
3、将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默认值修改为
“C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原来是INTEXPLORE.com)
4、将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
5、将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
“C:\Program Files\Internet Explorer\iexplore.exe” –nohome
6、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为“IEXPLORE.EXE”.(原来是INTEXPLORE.pif)
六、收尾工作
关掉注册表编辑器
将C:\WINDOWS目录下的regedit.com改回regedit.exe,如果提示有重名文件存在,不能更改,可以先将重名的regedit.exe删除,再将regedit.com改为regedit.exe。