lsass.exe病毒木马手工清除方法

最新推荐文章于 2024-08-23 16:00:55 发布
最新推荐文章于 2024-08-23 16:00:55 发布
阅读量4k 收藏 1
点赞数
分类专栏: 服务器相关 文章标签: associations windows system c exe 任务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vince6799/article/details/1062819
版权
本文详细介绍了lsass.exe病毒的症状和清除方法,包括结束病毒进程、删除病毒文件及修复注册表,帮助用户解决系统被病毒感染的问题。
摘要由CSDN通过智能技术生成
病毒症状
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击本地磁盘D:打不开,只能通过右击选择打开来打开.用瑞星扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM/EXERT.exe上.

该病毒新建如下文件:

c:/program files/common files/INTEXPLORE.pif
c:/program files/internet explorer/INTEXPLORE.com
%SYSTEM/debug/debugprogram.exe
%SYSTEM/system32/Anskya0.exe
%SYSTEM/system32/dxdiag.com
%SYSTEM/system32/MSCONFIG.com
%SYSTEM/system32/regedit.com
%SYSTEM/system32/LSASS.exe
%SYSTEM/system32/EXERT.exe
病毒症状
1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出
最低0.47元/天 解锁文章
vinceding
关注
专栏目录
[系统安全] 十八.病毒攻防机理及WinRAR恶意劫持漏洞(bat病毒、自启动、定时关机、蓝屏攻击)
杨秀璋的专栏
02-03 6687
作者前文介绍了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解;这篇文章将讲解简单的病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-20250)利用让大家感受下病毒攻击的过程,提出了安全相关建议,包括自动启、修改密码、定时关机、蓝屏、进程关闭等功能。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。
EXERT.exe、LSASS.exe病毒木马查杀
CLassic_Ms的专栏
09-03 1523
病毒名称:传奇终结者变种JBA(Trojan.PSW.Lmir.jba)  病毒类型:通过网络传播的盗号木马  病毒发作现象及危害:   该病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马病毒会强行终止多种杀毒软件的进程,使其不能正常运行。它会频繁检查“传奇”客户端的窗口,如果窗口存在,就会取得当前鼠标的位置,并记录键盘信息,最后把记录下来的信息发送到指定邮箱,从而窃取
lsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rar
07-26
lsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rarlsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rarlsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rarlsass.exe和smss.exe病毒专杀工具V6.0 绿色版.rar
电脑中文件夹exe病毒:深度解析与高效数据恢复策略
最新发布
Uhfbn的博客
08-23 810
通过本文的介绍,我们深入了解了电脑中文件夹异常执行化的现象与成因,并掌握了使用数之寻软件进行数据恢复的高效方法。然而,预防总是优于治疗。定期备份数据:定期将重要数据备份到外部硬盘、云存储等安全位置,以防不测。保持系统更新:及时安装系统和软件的更新补丁,以修复已知的安全漏洞。安装可靠的安全软件:选择知名的安全软件并保持其更新至最新版本,以提供全面的安全防护。谨慎下载与安装软件:避免从不明来源下载软件,安装前务必进行病毒扫描。提高安全意识:增强对网络安全的认识和警惕性,不轻易点击来源不明的链接或附件。
lsass.exe和smss.exe病毒专杀工具——即磁碟机病毒专杀工具(转载)
yongtree123的专栏
03-31 3050
 本软件为lsass.exe和smss.exe病毒(即磁碟机病毒)的专杀工具,基于恶意软件查杀助理辅助工具的查杀引擎,并专门针对该病毒作了强化,能有效查杀该病毒以及被其感染的程序文件和网页文件。  病毒特性:    感染文件。经研究,会感染U盘上和本地磁盘上的应用程序,而且会感染压缩包里的应用程序。因此造成难以清除病毒还会感染本机内的网页文件,在网页代码最后加上一段加密过的地址,打开网页
lsass.exe和smss.exe病毒,真厉害!
oldcao的专栏
03-04 858
                                    lsass.exe和smss.exe病毒 真厉害!  最近电脑里多了两个进程,lsass.exe和smss.exe用户名都是administrator怎么删都删除不了,360打不开,优化大师打不开,杀毒软件打不开,进程管理软件也关不掉这俩进程,这俩病毒进程在C:/program files/system32/com里,
lsass.exe和smss.exe病毒(磁碟机病毒)的专杀工具
01-14
本软件为lsass.exe和smss.exe病毒(磁碟机病毒)的专杀工具,基于恶意软件查杀助理辅助工具的查杀引擎,并专门针对该病毒作了强化,支持扫描rar格式和自解压格式,支持扫描被感染的应用程序与网页文件,能比较有效的查杀该病毒
从进程中巧妙查找病毒,菜鸟也会手工杀毒.doc
01-11
- **双进程现象**:当发现两个相同名称的进程同时运行时(例如winlogon.exe, lsass.exe, csrss.exe, explorer.exe, ctfmon.exe等),其中一个可能是病毒伪装。这种情况下,可以通过检查进程的启动时间来初步判断。 -...
【新星计划】你真的了解计算机病毒吗?
静Yu的博客
05-25 5872
常常听说计算机病毒,但你真的了解它们吗?你知道它们长什么样子,如何抵御吗?今天由我来带你深入了解一下。
一款LSASS和SMSS病毒杀毒软件
12-06
本软件为lsass.exe和smss.exe病毒(暂定名)的专杀工具,基于恶意软件查杀助理辅助工具的查杀引擎,并专门针对该病毒作了强化,支持扫描rar格式和自解压格式,支持扫描被感染的应用程序与网页文件,能比较有效的查杀该病毒。 本软件目前还无法针对被感染的文件进行修复,最好对被感染的U盘进行格式化,这样来隔断病毒传播途径,如果U盘里含有重要文件,请复制所有除程序文件外的文件,再格式化U盘。还有该病毒会感染本机压缩包内的程序,请小心应对! 使用方法:先使用扫描内存功能进行查杀,如果发现病毒,请用右键选择全部删除,最好多删几次。然后使用开始扫描功能,对病毒残余文件进行清理即可。如果无法清除,可以使用强制清除功能清除。目前本专杀工具可以扫描部分被感染对象,但尚不能清除被感染的文件里的病毒!本专杀工具默认只扫描应用程序、dll、ocx、htm等格式的文件。最后,最好关掉系统的自动播放功能!本软件支持以命令行启动,auto代表启动本软件后先结束各种非系统进程。以避免本软件被病毒关闭。 2008年01月06日 V6.0 新增多个特征码,查杀更多变种! 支持删除压缩包内病毒。 支持显示清除速度。 在选择自定义扫描时,自动勾选自定义的扫描位置。 支持扫描被感染的网页文件,更彻底清除病毒。 新增对多个变种的分析,完整查杀
Windows服务器上lsass.exe进程CPU使用率异常问题排查方法
01-10
近期有几台服务器相继出现 lsass.exe 占用CPU过高,也不算太高,而且过了一段时间又会恢复正常,CPU过高直接造成网站打开很慢,周而反复。 在CPU跑高的时候,伴随着一个现像就是网络的浮动,有时候上传居然达到了30M – 90M/s,对外攻击,第一时间就想到有可能是这个原因,那具体怎么查呢? 常见的对外文件,这东西网上搜一下就能找到。 代码如下:<?php set_time_limit(86400); ignore_user_abort(True); $packets = 0; $http = $_REQUEST[‘http’]; $rand = $_REQUEST[‘exit’];
探察木马的蛛丝马迹
blotemj.blog.csdn.net
07-01 944
探察木马的蛛丝马迹   相信很多朋友看过最新大片《特洛伊》,对其中巨大的“木马”毫不陌生,就是这个木马,攻下了坚固的特洛伊城,书写了世界历史上悲惨而又光辉的一页。由此而生的电脑特洛伊木马,也时常给自以为坚固的系统带来灾难性的后果。那么,当遭遇木马时,我们如何做呢?   本文从木马最容易藏身的“进程”里来剖析木马病毒,让大家从最根本的进程入手,认识并清除木马病毒,让特洛伊的历史不再在你我的电脑中重演...
彻底解决LSASS.exe进程病毒
热门推荐
小宝
06-21 1万+
lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。 进程文件: lsass or lsass.exe 进程名称: Local Secur...
记一次Windows Server 2008 服务器被植入挖矿木马处理
a18218401470的博客
01-14 1991
概览 CentOS 6.5转Windows Server 2008 阿里云CES 运行环境:ASP.NET运行环境(2.0/3.5/4.0+MySql5.5) 部署情况:C#部署在IIS7.1上,Python服务部署在Apache2.4,SQL Server,MySql 部署方式:由于IIS与Apache均需要使用80端口,所...
几种免杀转储lsass进程的技巧
chenfeng857的博客
09-06 3300
在内网渗透进行横向移动和权限提升时,最常用的方法是通过dump进程lsass.exe,从中获得明文口令或者hash。lsass.exe(Local Security Authority Subsystem Service)是一个系统进程,用于微软Windows系统的安全机制,它用于本地安全和登陆策略。在进程空间中,存有着机器的域、本地用户名和密码等重要信息。但是需要首先获得一个高的权限才能对其进行访问。 在存在杀软防护的情况下,要想转储lsass进程,我首先想到的是procdump+Mimikatz 的方式
Windows提权方法大全汇总(值的收藏)
MachineGunJoe666
08-24 4919
一、无引号服务路径 ( Trusted Service Paths ) 先说实用度,比较被动,而且比较看脸。 Windows下服务的权限通常是SYSTEM。如果我们能够替换服务的启动程序为我们的恶意程序(如反弹shell),即相当于获得了SYSTEM权限,达到了提权的目的。 无引号服务路径有可能会导致这种情况的发生。 所谓无引号服务路径,就是服务启动程序的路径中包含了空格且未被引号包含起来。比如这样 C:\Program Files\floder1\service.exe 因为空格的存在,Windows.
服务器lsass占用内存_记一次服务器病毒查杀过程:lsass.exe占用内存高
weixin_39849930的博客
12-21 873
前几天,一大早上班就被用户单位在群里呼叫,说系统登不上去了。我自己试了一下,Web站点能够访问,想上服务器上看看日志上是不是有什么问题。谁知道服务器远程桌面一直无法连接。只能找基础设施同事帮忙查看。这一看简直吓一跳,内存已经被吃满了。请同事帮忙重启了一下,自己登上去看看什么问题。先说下服务器相关配置:OS : WinServer 2008 R2 SP1,不通外网,系统无更新补丁CPU:2核内存:8...
任务管理器中分别找到下列程序:winlogon.exe、lsass.exe、csrss.exe、smss.exe,试着结束它们,观察到的结果是
06-13
请注意,这些进程都是Windows操作系统中的核心组件,尝试结束它们可能会导致系统出现严重问题,因此不建议随意进行操作。 具体来说,如果尝试结束winlogon.exe进程,系统将会强制注销当前用户并退出当前会话。 尝试结束lsass.exe进程可能会导致系统蓝屏崩溃并自动重启。 尝试结束csrss.exe进程可能会导致系统蓝屏崩溃并自动重启,或者导致系统无法正常运行。 尝试结束smss.exe进程可能会导致系统无法正常启动或运行。 因此,除非您是经验丰富的系统管理员或技术专家,否则不要尝试结束这些进程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值