您的位置首页生活百科

IE为什么打不开?

IE为什么打不开?

如果先找个IE修复专家来修复一般就OK了,不行就重新装过如果提示是找不到 IEXPLORER.COM那就是重了一种叫LSASS的病毒给你找个方法lsass.exe病毒木马手工清除方法病毒症状进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后瞎并樱又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表蔽正破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.该病毒新建如下文件: c:\program files\common files\INTEXPLORE.pif c:\program files\internet explorer\INTEXPLORE.com %SYSTEM\debug\debugprogram.exe %SYSTEM\system32\磨丛Anskya0.exe %SYSTEM\system32\dxdiag.com %SYSTEM\system32\MSCONFIG.com %SYSTEM\system32\regedit.com %SYSTEM\system32\LSASS.exe %SYSTEM\system32\EXERT.exe解决方法1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1064".2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.截图如下:删除如下几个文件: C:\Program Files\Common Files\INTEXPLORE.pif C:\Program Files\Internet Explorer\INTEXPLORE.com C:\WINDOWS\EXERT.exe C:\WINDOWS\IO.SYS.BAK C:\WINDOWS\LSASS.exe C:\WINDOWS\Debug\DebugProgram.exe C:\WINDOWS\system32\dxdiag.com C:\WINDOWS\system32\MSCONFIG.COM C:\WINDOWS\system32\regedit.com在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目: HKEY_CLASSES_ROOT\WindowFiles HKEY_CURRENT_USER\Software\VB and VBA Program Settings HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项 HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项将HKEY_CLASSES_ROOT\.exe的默认值修改为 "exefile"(原来是windowsfile) 将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 "C:\Program Files\Internet Explorer\iexplore.exe" %1" (原来是intexplore.com) 将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默认值修改为 "C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com) 将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1" (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif) 将HKEY_CLASSES_ROOT \htmlfile\shell\open\command HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为 "C:\Program Files\Internet Explorer\iexplore.exe" –nohome” 将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif) 重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕.Enjoy It .--------------------------------------------------------------------------------相关知识进程文件:lsass或者lsass.exe 进程名称:local安全等级作者ityservice 描述:lsass.exe是一个关于微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略 出品者:microsoft corp. 属于:windows系统 系统进程:是 后台进程:是 使用网络:否 硬件相关:否 常见错误:未知 内存使用:未知 安全等级:0 间谍软件:否 广告软件:否 病毒:否 木马:否这是一个WOW木马,最近好像中招的人多起来了,这个小木马除了和一般的小木马一样会建立自启动项、关联文件外,它还会修改很多其它关联信息,增加了病毒被激活的机率,也给清除带来了一点点麻烦。 在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序,所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧,在处理过程中慢慢体会吧…… 1. 结束病毒的进程%Windows%\smss.exe 2. 删除相关文件: C:\MSCONFIG.SYS %Windows%\1.com %Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif 3. 恢复EXE文件关联 删除[HKEY_CLASSES_ROOT\winfiles]项 4. 删除病毒启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"="%Windows%\smss.exe" 修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下 "shell"="Explorer.exe 1" 为 "shell"="Explorer.exe" 5. 恢复病毒修改的注册表信息: (1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe” (2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe” (3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe” (4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”smss.exe 先说说现在该变种的相似和不同之处: 方法中第二步提到的删除 %Windows%\1.com Windows%\ExERoute.exe %Windows%\finder.com %Windows%\smss.exe ....等等都能找到,而且文件创建时间确实是同一天 但是有些已经改了 比如Windows%\explorer.com,改为了exp1orer.com(E文的L改为了数字一)等等 另外还有部分文件我没找到,比如C:\MSCONFIG.SYS,%System%\command.pif等 但是在c:\windows\system32中能找到 第五步修改注册表中也无法找到“command.pif”、“finder.com”、“rundll32.com”等等 但是因为第四步情况完全一样,所以我觉得这很可能是该木马的变种 现在我最主要的问题就是该变种无法删除smss.exe 我尝试了很多方法,安全模式也同样会加载该进程 又搜索了海色の月的其他文章,其中一篇提到主要是五个键值要修改: 海色の月 2005-2-6 03:45 PM 一般有5个地方需要修改. 可能是你漏了一个,而且很可能就是这地方: 在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,修改为“Explorer.exe”。 但是现在没有这么多了,一般只有2`3个地方 开始的时候注册表文件里还有个叫TProgram的文件夹,里面含有非法的smss.exe 不过现在这个文件夹没再创建了