病毒lsass.exe進程清除方法是什麼進程，病毒lsass.exe進程清除方法佔用資源

由於前段時間多種木馬程序光臨了我的電腦，所以最近會時不時的打開任務管理器察看一下，看看是否有什麼奇怪的東西“不請自來”，結果一個lsass.exe的進程引起了我的注意。

注意lsass.exe和LSASS.EXE，假如你的任務中同時看到了這兩個進程，那麼恭喜你，你的電腦中招了。由系統執行的lsass.exe是“無害”的系統進程，用於微軟Windows系統的安全機制，本地安全和登陸策略。單獨出現lsass.exe那是正常的，不過出現了LSASS.EXE就說明你的電腦中了Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm病毒，或者是該病毒的變種。該病毒通過軟盤（這個基本上絕種了吧？）、群發郵件和P2P文件共享進行傳播。

如果不幸中招了，那也不要緊張，我們可以通過下面步驟手動清除它。

●打開“我的電腦”——工具——文件夾選項——查看

●把“隱藏受保護的操作系統文件(推薦)”和“隱藏已知文件類型的擴展名”前面的勾去掉;

●勾中“顯示所有文件和文件夾”

●用Ctrl+Alt+Del調出windows務管理器,想通過右擊當前用戶名的LSASS.EXE(也有可能是小寫的lsass.exe，但是注意是當前用戶的)來結束進程是行不通的.會彈出該進程為系統進程無法結束的提醒框;點到任務管理器進程面版，點擊菜單，”查看”-”選擇列”，在彈出的對話框中選擇”PID(進程標識符)”，並點擊”確定”。找到映像名稱為”LSASS.exe“，並且用戶名不是”SYSTEM”的一項，記住其PID號.點擊”開始”——運行，輸入”CMD”，點擊”確定”打開命令行控制台。

　　輸入”ntsd –c q -p (這裡填寫你在任務管理器裡看到的LSASS.EXE的PID列的數字，是當前用戶名進程的PID，別看錯了)”，比如計算機上進程PID是2264，那就輸入”ntsd –c q -p 2264″.這樣進程就結束了。

▼如果結束了又會出現，那麼用下面的方法

　　進程裡面有2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程為病毒).

　　用EWIDO可以直接禁止結束掉的

●上面主要是把進程中止，接下來是刪除病毒文件

需要刪除的文件有這麼一些：
　　C:/Program Files/Common Files/INTEXPLORE.pif (有的沒有.pif)
　　C:/Program Files/Internet Explorer/INTEXPLORE.com
　　C:/WINDOWS/EXERT.exe
　　C:/WINDOWS/IO.SYS.BAK
　　C:/WINDOWS/LSASS.exe
　　C:/WINDOWS/Debug/DebugProgram.exe
　　C:/WINDOWS/system32/dxdiag.com
　　C:/WINDOWS/system32/MSCONFIG.COM
　　C:/WINDOWS/system32/regedit.com

●做的徹底一些，刪除註冊表中的其他垃圾信息，這一步工作如果你裝有Free Window Registry Repair這樣的註冊表清理工具的話，那就不需要手動清除了，執行Free Window Registry Repair進行清理就可以了。下面是手動清除的需要刪除的項目：
　　1、HKEY_CLASSES_ROOT/WindowFiles
　　2、HKEY_CURRENT_USER/Software/VB and VBA Program Settings
　　3、HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main下面的 Check_Associations項
　　4、HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif
　　5、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下面的ToP項

●修復註冊表中被篡改的鍵值

　　１、將HKEY_CLASSES_ROOT/.exe的默認值修改為 “exefile”(原來是windowsfile)

　　２、將HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command 的默認值修改為 “C:/Program Files/Internet Explorer/iexplore.exe” %1 (原來是intexplore.com)

　　３、將HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D} /shell/OpenHomePage/Command 的默認值修改為”C:/Program Files/Internet Explorer/IEXPLORE.EXE”(原來是INTEXPLORE.com)

　　４、將HKEY_CLASSES_ROOT /ftp/shell/open/command HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command的默認值修改為”C:/Program Files/Internet Explorer/iexplore.exe” %1 (原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)

　　５、將HKEY_CLASSES_ROOT /htmlfile/shell/open/command 和HKEY_CLASSES_ROOT/HTTP/shell/open/command的默認值修改為”C:/Program Files/Internet Explorer/iexplore.exe” –nohome

　　６、將HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet 的默認值修改為”IEXPLORE.EXE”.(原來是INTEXPLORE.pif)

●關掉註冊表編輯器,重新啟動，這樣就OK了~~~