昨天居然有兩台計算机都中了木馬病毒，出現lsass.exe与一些程序發生衝突的問題，原來能運行的程序不能運行了。在网上搜索了一下，找到下面的文章，按照文章上面的指點，我也用手工方法刪除了它們。

以下是文章的主要內容：

最近N多网友反映自己的D盤雙擊打不開，出現選擇程序打開方式對話框。D盤目錄下有command.com和autorun.inf兩個文件，刪掉又會出來。

進程里面有2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程為病毒).

同時修改N多注冊表鍵值，創建N多病毒文件。。所以要想清楚干淨十分困難。。

以windows xp為例

一、准備工作：

  打開“我的電腦”——工具——文件夾選項——查看
a、把“隱藏受保護的操作系統文件（推荐）”和“隱藏已知文件類型的擴展名”前面的勾去掉；
b、勾中“顯示所有文件和文件夾”

二、結束進程

  用Ctrl+Alt+Del調出windows務管理器,想通過右擊當前用戶名的lsass.exe來結束進程是行不通
的.會彈出該進程為系統進程無法結束的提醒框;

點到任務管理器進程面版，點擊菜單，"查看"－"選擇列"，在彈出的對話框中選擇"PID（進程標
識符）"，并點擊"确定"。找到映象名稱為"LSASS.exe"，并且用戶名不是"SYSTEM"的一項，記住
其PID號.點擊"開始"——運行，輸入"CMD"，點擊"确定"打開命令行控制台。

輸入"ntsd –c q -p (此紅色部分填寫你在任務管理器里看到的LSASS.EXE的PID列的數字，是當
前用戶名進程的PID，別看錯了)"，比如我的計算机上就輸入"ntsd –c q -p 1064".這樣進程就
結束了。

三、刪除病毒文件

刪除如下几個文件： （与WIN2000的目錄有所不同）

C:\Program Files\Common Files\INTEXPLORE.pif （有的沒有.pif）

C:\Program Files\Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

在D:盤上點擊鼠標右鍵，選擇“打開”。刪除掉該分區根目錄下的"Autorun.inf"和"command.com"文件.

四、刪除注冊表中的其他垃圾信息

將C:\WINDOWS目錄下的"regedit.exe"改名為"regedit.com"并運行，刪除以下項目：

1、HKEY_CLASSES_ROOT\WindowFiles

2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings

3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項

4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項

五、修复注冊表中被篡改的鍵值

1、將HKEY_CLASSES_ROOT\.exe的默認值修改為 "exefile"(原來是windowsfile)

2、將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認值修改為
 "C:\Program Files\Internet Explorer\iexplore.exe" %1 (原來是intexplore.com)

3、將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\
OpenHomePage\Command 的默認值修改為
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)

4、將HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\
opennew\command
的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1 (原來的值分別是
INTEXPLORE.com和INTEXPLORE.pif)

5、將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome

6、將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默認值修改為
"IEXPLORE.EXE".(原來是INTEXPLORE.pif)

六、收尾工作

關掉注冊表編輯器

將C:\WINDOWS目錄下的regedit.com改回regedit.exe

<轉貼完>

順便說明一下，我遇到的第二台机子，居然在第一步就遇到了挫折，怎么設置都無法顯示全部文件和隱藏文件。好在我的DOS 功底還不錯，這難不住我。對XP系統，打開運行，輸入CMD，顯示DOS窗口，先按照第二步先結束進程，然后進行第三步工作：

1.在DOS 窗口輸入如下命令：

C:\>CD C:\Progra~1\Common~1           ；進入C:\Program Files\Common Files

ATTRIB -H -R -S *.*                   ；祛除所有文件的隱藏、只讀、系統屬性

這時就可以顯示出C:\Program Files\Common Files文件夾中隱藏的文件了，用鼠標在C:\Program Files\Common Files窗口中刪除INTEXPLORE.pif（如果有的話）。

也可以在DOS窗口中輸入：

DEL INTEXPLORE.pif                    ；刪除INTEXPLORE.pif文件

刪除INTEXPLORE.pif文件。

2.按照同樣的辦法，進入C:\Program Files\Internet Explorer：

CD C:\Progra~1\Intern~1               ；進入C:\Program Files\Internet Explorer

ATTRIB -H -R -S *.COM                 ；祛除*.COM文件屬性

在C:\Program Files\Internet Explorer窗口中刪除INTEXPLORE.com。

3.進入C:\WINDOWS并刪除病毒文件：

CD C:\WINDOWS                         ；進入C:\WINDOWS

ATTRIB -H -R -S *.*                   ；祛除所有文件屬性

DEL EXERT.exe                         ；刪除 EXERT.exe

DEL IO.SYS.BAK

DEL LSASS.exe

CD DEBUG                              ；進入DEBUG

ATTRIB -H -R -S *.EXE

DEL DebugProgram.exe

CD..                                  ；返回WINDOWS文件夾

CD SYSTEM32                           ；進入SYSTEM32文件夾

ATTRIB -H -R -S *.COM                 ；祛除*.COM文件屬性

DEL dxdiag.com

DEL MSCONFIG.COM

DEL regedit.com

上述命令必須一次完成，除非你懂得DOS的操作。

4.刪除D:盤上的病毒文件:

在上面的DOS 窗口中繼續如下操作:

D:

ATTRIB -H -R -S *.*

DEL Autorun.inf                           ；刪除Autorun.inf

DEL command.com                           ；刪除command.com

經過上述步驟，我們就可以刪除這些隱藏的病毒文件了。^_^