昨天居然有两台计算机都中了木马病毒，出现lsass.exe与一些程序发生冲突的问题，原来能运行的程序不能运行了。在网上搜索了一下，找到下面的文章，按照文章上面的指点，我也用手工方法删除了它们。

以下是文章的主要内容：

最近N多网友反映自己的D盘双击打不开，出现选择程序打开方式对话框。D盘目录下有command.com和autorun.inf两个文件，删掉又会出来。

进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).

同时修改N多注册表键值，创建N多病毒文件。。所以要想清楚干净十分困难。。

以windows xp为例

一、准备工作：

  打开“我的电脑”——工具——文件夹选项——查看
a、把“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”前面的勾去掉；
b、勾中“显示所有文件和文件夹”

二、结束进程

  用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通
的.会弹出该进程为系统进程无法结束的提醒框;

点到任务管理器进程面版，点击菜单，"查看"－"选择列"，在弹出的对话框中选择"PID（进程标
识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住
其PID号.点击"开始"——运行，输入"CMD"，点击"确定"打开命令行控制台。

输入"ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字，是当
前用户名进程的PID，别看错了)"，比如我的计算机上就输入"ntsd –c q -p 1064".这样进程就
结束了。

三、删除病毒文件

删除如下几个文件： （与WIN2000的目录有所不同）

C:\Program Files\Common Files\INTEXPLORE.pif （有的没有.pif）

C:\Program Files\Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

四、删除注册表中的其他垃圾信息

将C:\WINDOWS目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目：

1、HKEY_CLASSES_ROOT\WindowFiles

2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings

3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项

4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项

五、修复注册表中被篡改的键值

1、将HKEY_CLASSES_ROOT\.exe的默认值修改为 "exefile"(原来是windowsfile)

2、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为
 "C:\Program Files\Internet Explorer\iexplore.exe" %1 (原来是intexplore.com)

3、将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\
OpenHomePage\Command 的默认值修改为
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)

4、将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\
opennew\command
的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1 (原来的值分别是
INTEXPLORE.com和INTEXPLORE.pif)

5、将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome

6、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为
"IEXPLORE.EXE".(原来是INTEXPLORE.pif)

六、收尾工作

关掉注册表编辑器

将C:\WINDOWS目录下的regedit.com改回regedit.exe

<转贴完>

顺便说明一下，我遇到的第二台机子，居然在第一步就遇到了挫折，怎么设置都无法显示全部文件和隐藏文件。好在我的DOS 功底还不错，这难不住我。对XP系统，打开运行，输入CMD，显示DOS窗口，先按照第二步先结束进程，然后进行第三步工作：

1.在DOS 窗口输入如下命令：

C:\>CD C:\Progra~1\Common~1           ；进入C:\Program Files\Common Files

ATTRIB -H -R -S *.*                   ；祛除所有文件的隐藏、只读、系统属性

这时就可以显示出C:\Program Files\Common Files文件夹中隐藏的文件了，用鼠标在C:\Program Files\Common Files窗口中删除INTEXPLORE.pif（如果有的话）。

也可以在DOS窗口中输入：

DEL INTEXPLORE.pif                    ；删除INTEXPLORE.pif文件

删除INTEXPLORE.pif文件。

2.按照同样的办法，进入C:\Program Files\Internet Explorer：

CD C:\Progra~1\Intern~1               ；进入C:\Program Files\Internet Explorer

ATTRIB -H -R -S *.COM                 ；祛除*.COM文件属性

在C:\Program Files\Internet Explorer窗口中删除INTEXPLORE.com。

3.进入C:\WINDOWS并删除病毒文件：

CD C:\WINDOWS                         ；进入C:\WINDOWS

ATTRIB -H -R -S *.*                   ；祛除所有文件属性

DEL EXERT.exe                         ；删除 EXERT.exe

DEL IO.SYS.BAK

DEL LSASS.exe

CD DEBUG                              ；进入DEBUG

ATTRIB -H -R -S *.EXE

DEL DebugProgram.exe

CD..                                  ；返回WINDOWS文件夹

CD SYSTEM32                           ；进入SYSTEM32文件夹

ATTRIB -H -R -S *.COM                 ；祛除*.COM文件属性

DEL dxdiag.com

DEL MSCONFIG.COM

DEL regedit.com

上述命令必须一次完成，除非你懂得DOS的操作。

4.删除D:盘上的病毒文件:

在上面的DOS 窗口中继续如下操作:

D:

ATTRIB -H -R -S *.*

DEL Autorun.inf                           ；删除Autorun.inf

DEL command.com                           ；删除command.com

经过上述步骤，我们就可以删除这些隐藏的病毒文件了。^_^