Red de conocimiento informático - Problemas con los teléfonos móviles - ¿Qué proceso es sass.exe?

¿Qué proceso es sass.exe?

Virus troyano, aquí se explica cómo eliminarlo

---------

Hay dos procesos lsass.exe en el proceso, uno es sistema, el otro es el nombre de usuario actual (el proceso es un virus. Al hacer doble clic en la unidad D: no se puede abrir. Solo se puede abrir haciendo clic derecho y seleccionando Abrir. Se puede escanear con Kaspersky y puede. ser eliminado, pero después de reiniciar, hay otros dos procesos lsass.exe. El virus es un programa troyano. Después de ser envenenado, generará dos archivos, command.com y autorun.inf, en el directorio raíz de la unidad D. Al mismo tiempo, invadirá el registro y destruirá la asociación de archivos del sistema. El virus modificará el registro y ejecutará. El valor de la clave apunta a LSASS.exe, modifica los valores de las claves .exe y exefile en HKEY_CLASSES_ROOT. cree un nuevo valor de clave de archivo de ventana. Asocie el enlace de apertura del archivo exe al programa de virus %SYSTEM\EXERT.exe que genera.

El virus crea el siguiente archivo:

c:\. archivos de programa\archivos comunes\INTEXPLORE.pif

c:\archivos de programa\internet explorer\INTEXPLORE.com

%SYSTEM\debug\debugprogram.exe

%SYSTEM\system32\Anskya0.exe

%SYSTEM\system32\dxdiag.com

% SYSTEM\system32\MSCONFIG.com

%SYSTEM\system32\ regedit.com

%SYSTEM\system32\LSASS.exe

%SYSTEM\system32\EXERT .exe

Solución

1. Finalice el proceso: abra el Administrador de servicios de Windows (Ctrl+Alt+Supr) y busque lsass.exe simplemente haciendo clic derecho en el nombre de usuario actual. No funcionará para finalizar el proceso. Aparecerá un cuadro de recordatorio que indica que el proceso. es un proceso del sistema y no se puede finalizar; haga clic derecho en la "Barra de tareas" y seleccione "Administrador de tareas". Haga clic en el menú "Ver (V)" -> "Seleccionar columna (S)...", seleccione "PID (Identificador de proceso)" en el cuadro de diálogo emergente y haga clic en "Aceptar". Busque el nombre de la imagen "LSASS.exe" y el nombre de usuario no es "SISTEMA". Recuerde su número PID. Haga clic en "Inicio" - "Ejecutar", ingrese "CMD" y haga clic en "Aceptar" para abrir la consola de línea de comando.

Ingrese "ntsd –c q -p (PID)", por ejemplo, en mi computadora ingreso "ntsd –c q -p 1064

2. son archivos ocultos. Por lo tanto, primero debe configurar para mostrar todos los archivos ocultos, archivos del sistema y mostrar extensiones de archivos Mi PC-->Herramientas (T)-->Opciones de carpeta (O)...-->Ver-->Seleccionar; "Mostrar" Todos los archivos y carpetas" y desmarque "Ocultar archivos protegidos del sistema operativo (recomendado)". Aparecerá una advertencia. Seleccione Sí. Ahora se mostrarán todos los archivos ocultos.

Nota: También puede utilice algún software que elimine procesos

Elimine los siguientes archivos:

C:\Program Files\Common Files\INTEXPLORE.pif

C :\Program Files\ Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\ LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C :\WINDOWS\system32 \MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

D:\COMMAND.COM

D:\Autorun .inf

Haga clic derecho en la unidad D: y seleccione "Abrir" (no haga doble clic) para eliminar los archivos "Autorun.inf" y "command.com" en el directorio raíz de la partición <. /p >

3. Elimine otra información basura en el registro. Hay muchas ubicaciones de registro en las que este virus debería escribir. Si no se repara, algunas funciones del sistema serán anormales.

Cambie el nombre de "regedit.exe" en el directorio de Windows a "regedit.com" y ejecútelo, elimine los siguientes elementos:

HKEY_CLASSES_ROOT\WindowFiles

HKEY_CURRENT_USER \ Software\VB y VBA Program Settings

Elemento Check_Associations en HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

Elementos principales en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Cambie el valor predeterminado de HKEY_CLASSES_ROOT\.exe a "exefile" (originalmente archivo de Windows)

Cambie el valor predeterminado de HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command en

"C:\Program Files\Internet Explorer\iexplore.exe" %1" (originalmente intexplore.com)

Cambie el valor predeterminado de HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}

\shell\OpenHomePage\Command a "C:\Program Files\Internet Explorer \IEXPLORE. EXE" (originalmente INTEXPLORE.com)

Modificar los valores predeterminados de HKEY_CLASSES_ROOT \ftp\shell\open\command y HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

es " C:\Program Files\Internet Explorer\iexplore.exe" %1" (los valores originales son INTEXPLORE.com e INTEXPLORE.pif respectivamente)

Cambiar HKEY_CLASSES_ROOT \htmlfile\shell\open\command

Cambiar el valor predeterminado de HKEY_CLASSES_ROOT\HTTP\shell\open\command a "C:\Program Files\Internet Explorer\iexplore.exe" –nohome”

Cambiar HKEY_LOCAL_MACHINE\SOFTWARE\ Clientes El valor predeterminado de \StartMenuInternet se cambia a "IEXPLORE.EXE (originalmente INTEXPLORE.pif)

Cambie la extensión regedit en el directorio de Windows nuevamente a exe. En este punto, el virus se eliminó exitosamente. y el registro está reparado

上篇: Embalaje del sistema Win7, instalación personalizada, ¿qué paquete debería utilizar? 下篇: ¿Se lanzará nuevamente "Los Sims 5"?

Artículos populares