lsass.exe木馬病毒症狀及手工清除

　最近N多網友反映自己的D盤雙擊打不開，出現選擇程序打開方式對話框。D盤目錄下有command.com和autorun.inf兩個文件，刪掉又會出來。

　　進程裡面有2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程為病毒).

　　同時修改N多注冊表鍵值，創建N多病毒文件。。所以要想清楚干淨十分困難。。

　　正文開始：

　　以windows xp為例

　　一、准備工作：

　　打開“我的電腦”——工具——文件夾選項——查看

　　a、把“隱藏受保護的操作系統文件（推薦）”和“隱藏已知文件類型的擴展名”前面的勾去掉；

　　b、勾中“顯示所有文件和文件夾”

　　二、結束進程

　　用Ctrl+Alt+Del調出windows務管理器,想通過右擊當前用戶名的lsass.exe來結束進程是行不通的.會彈出該進程為系統進程無法結束的提醒框;

　　點到任務管理器進程面版，點擊菜單，"查看"－"選擇列"，在彈出的對話框中選擇"PID（進程標識符）"，並點擊"確定"。找到映象名稱為"LSASS.exe"，並且用戶名不是"SYSTEM"的一項，記住其PID號.點擊"開始"——運行，輸入"CMD"，點擊"確定"打開命令行控制台。

　　輸入"ntsd –c q -p (此紅色部分填寫你在任務管理器裡看到的LSASS.EXE的PID列的數字，是當前用戶名進程的PID，別看錯了)"，比如我的計算機上就輸入"ntsd –c q -p 1064".這樣進程就結束了。（如果結束了又會出現，那麼你還是用下面的方法吧） 

三、刪除病毒文件

　　刪除如下幾個文件： （與WIN2000的目錄有所不同）

　　C:\Program Files\Common Files\INTEXPLORE.pif （有的沒有.pif）

　　C:\Program Files\Internet Explorer\INTEXPLORE.com

　　C:\WINDOWS\EXERT.exe

　　C:\WINDOWS\IO.SYS.BAK

　　C:\WINDOWS\LSASS.exe

　　C:\WINDOWS\Debug\DebugProgram.exe

　　C:\WINDOWS\system32\dxdiag.com

　　C:\WINDOWS\system32\MSCONFIG.COM

　　C:\WINDOWS\system32\regedit.com

　　在D:盤上點擊鼠標右鍵，選擇“打開”。刪除掉該分區根目錄下的"Autorun.inf"和"command.com"文件.

　　四、刪除注冊表中的其他垃圾信息

　　將C:\WINDOWS目錄下的"regedit.exe"改名為"regedit.com"並運行，刪除以下項目：