lsass.exe是不是病毒啊

答案:4 悬赏:10 手机版

解决时间 2021-08-17 14:56

提问者网友：椧運幽默
2021-08-16 19:02

在金山清理专家任务管理器里发现一个名叫lsass.exe的进程，来源是c:windows/system32/lsass.exe。但那里说是安全的，这到底是不是病毒啊

最佳答案

五星知识达人网友：三千妖杀
2021-08-16 20:02

windowsXP如何手工清除lsass.exe病毒

　　一、准备工作：
　　打开“我的电脑”——工具——文件夹选项——查看
　　a、把“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”前面的勾去掉；
　　b、勾中“显示所有文件和文件夹”
　　二、结束进程
　　用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;
　　点到任务管理器进程面版，点击菜单，“查看”－“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号.点击“开始”——运行，输入“CMD”，点击“确定”打开命令行控制台。
　　输入“ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字，是当前用户名进程的PID，别看错了)”，比如我的计算机上就输入“ntsd –c q -p 1064”.这样进程就结束了。（如果结束了又会出现，那么你还是用下面的方法吧）
　　三、删除病毒文件
　　删除如下几个文件：（与WIN2000的目录有所不同）
　　C:\Program Files\Common Files\INTEXPLORE.pif （有的没有.pif）
　　C:\Program Files\Internet Explorer\INTEXPLORE.com
　　C:\WINDOWS\EXERT.exe （或者exeroute.exe）
　　C:\WINDOWS\IO.SYS.BAK
　　C:\WINDOWS\LSASS.exe
　　C:\WINDOWS\Debug\DebugProgram.exe
　　C:\WINDOWS\system32\dxdiag.com
　　C:\WINDOWS\system32\MSCONFIG.COM
　　C:\WINDOWS\system32\regedit.com
　　在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件.
　　四、删除注册表中的其他垃圾信息
　　将C:\WINDOWS目录下的“regedit.exe”改名为“regedit.com”并运行，删除以下项目：
　　1、HKEY_CLASSES_ROOT\WindowFiles
　　2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
　　3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项
　　4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
　　5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项
　　五、修复注册表中被篡改的键值（红色部分为需要信息）
　　1、将HKEY_CLASSES_ROOT\.exe的默认值修改为 “exefile”(原来是windowsfile)
　　2、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来是intexplore.com)
　　3、将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默认值修改为
　　“C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原来是INTEXPLORE.com)
　　4、将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
　　的默认值修改为“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
　　5、将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和
　　HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
　　“C:\Program Files\Internet Explorer\iexplore.exe” –nohome
　　6、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为“IEXPLORE.EXE”.(原来是INTEXPLORE.pif)
　　六、收尾工作
　　关掉注册表编辑器
　　将C:\WINDOWS目录下的regedit.com改回regedit.exe，如果提示有重名文件存在，不能更改，可以先将重名的regedit.exe删除，再将regedit.com改为regedit.exe。
　　好了，恭喜你，大功告成了
　　----------------------请问第六项如何实现，完不成重命名动作，删除后还有自动出现regedit.exe

全部回答

1楼网友：玩家
2021-08-16 23:25

那是个进程影像，也就是个后备运行系统，不是病毒，删了就关闭运行了，没威胁。

2楼网友：duile
2021-08-16 22:34

lsass.exe是一个系统进程，注意：lsass.exe也有可能是病毒如果你的启动菜单（开始-运行-输入“msconfig”）里启动那儿有个lsass.exe启动项，那就证明你的lsass.exe是木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生command.com和 autorun.inf两个文件，同时侵入注册表破坏系统文件关联。（百度所得）

3楼网友：零点过十分
2021-08-16 21:23

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意： lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、 Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

进程文件： lsass or lsass.exe
进程名称： Local Security Authority Service
进程类别：其他进程
英文描述：

lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. Note: lsass.exe also relates to the Windang.worm, irc.ratsou.b, Webus.B, MyDoom.L, Randex.AR, Nimos.worm which
中文参考：
对不起，暂时没有中文参考！
出品者：Microsoft Corp.
属于：Microsoft Windows Operating System
系统进程：Yes
后台程序：Yes
网络相关：Yes
常见错误：N/A
内存使用：N/A
安全等级 (0-5): 0
间谍软件：No
广告软件：No
病毒：No

我要举报

如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息，可以点下面链接进行举报！