lsass.exe病毒木马病毒症状及手工清除方法

　　最近N多网友反映自己的D盘双击打不开，出现选择程序打开方式对话框。D盘目录下有command.com和autorun.inf两个文件，删掉又会出来。

　　进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).

　　同时修改N多注册表键值，创建N多病毒文件。。所以要想清楚干净十分困难。。

　　本人本想偷偷懒到网上找篇真正能解决问题的文章帖上来，但是，相关的很多，真正能完全有效又能让对电脑了解不是很多的网友看懂的却没有看到，所以就整理了这篇文章，希望对大家有用。

　　（注：同时流行的还有smss.exe，方法一样。只要把smss.exe当成下面内容中的lsass.exe就行了。。最近又发现伪装成WINLOGON.EXE，路径是C:\WINDOWS\WINLOGON.EXE，同时生成c:/windows/1.com

　　c:/windows/exeroute.exe

　　c:/windows/explorer.com

　　c:/windows/finder.com

　　d:/pagefile.com

　　全部删除，然后按后面的方法。。把WINLOGON.EXE当成LSASS.exe对待）

　　以windows xp为例

　　一、准备工作：

　　打开“我的电脑”——工具——文件夹选项——查看

　　a、把“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”前面的勾去掉；

　　b、勾中“显示所有文件和文件夹”

　　二、结束进程

　　用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;

　　点到任务管理器进程面版，点击菜单，"查看"－"选择列"，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"——运行，输入"CMD"，点击"确定"打开命令行控制台。