×

lsass

如何彻底杀掉lsass木马?lsass.exe是什么进程

admin admin 发表于2022-07-05 14:44:02 浏览90 评论0

抢沙发发表评论

如何彻底杀掉lsass木马


进程名称: Local Security Authority Service 进程名称: lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。⒁猓簂sass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。 出品者: Microsoft Corp. 属于: Microsoft Windows Operating System 如果你的启动菜单里有个lsass.exe启动项,那就证明你得lsass.exe木马病毒,中毒后,会在windows里产生lsass.exe和exert.exe两个病毒文件,还会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联,以下说一下本人对该病毒的杀法,以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件(本人用金山毒霸2006)全面杀毒,清除余下的病毒! 在进程里可以见到有两个相同的进程,分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行。LSASS.EXE管理exe类执行文件,exert.exe管理程序退出。下载个进程管理器,找出问题进程的路径,手动终止LSASS.EXE和exert.exe两个进程(管理器不能终止LSASS.EXE,提示系统进程不能终止),打开msconfig.exe取消LSASS.EXE启动项。删除C:\Documents and Settings\Administrator\Local Settings\tempt和Temporary Internet Files下的文件,断开网络后再删除C:\Program Files\Common Files\update文件夹,这里exe类文件已不能运行,新建一个reg文件,输入如下内容: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe] @=“exefile“ “Content Type“=“%1,%*“ [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler] @=“{098f2470-bae0-11cd-b579-08002b30bfeb}“ 或用工具恢复注册表。
记得采纳啊

lsass.exe是什么进程


lsass.exe是一个系统进程,用于微软Windows系统的安全机制。用于本地安全和登陆策略。

本地安全权限服务控制Windows安全机制,这是一个系统进程,它会随着系统启动而自动启动。管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等,是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。-lsass

该进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。

扩展资料:

相关病毒:

lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
-lsass

病毒描述:

lsass.exe感染的病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程,使其不能正常运行。

病毒诊断:

如果启动项里有个lsass.exe启动项,那就说明中了LSASS.EXE木马病毒,中毒后,在进程里可以见到有两个相同的进程,分别是lsass.exe和LSASS.EXE。

同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行,LSASS.EXE管理exe类执行文件,exert.exe管理程序退出,还会在D盘根目录下产生和 autorun.inf两个文件,同时侵入注册表破坏系统文件关联。-lsass

参考资料来源:百度百科-LSASS.EXE


进程里的lsass是什么程序


进程文件:
lsass
or
lsass.exe
进程名称:
本地安全权限服务

述:
这个本地安全权限服务控制Windows安全机制。管理
IP
安全策略以及启动
ISAKMP/Oakley
(IKE)

IP
安全驱动程序等。

绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP
3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个“AND“的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
-lsass