lcass.exe进程详细介绍

    进程名字是lcass.exe工在systme2文件夹下产生4个文件名,Ntsvc.ocx、Mswinsck.ocx、Lcass.dll、Lcass.exe 从注册表 删除后又把systme2里面的删除拉 ，但是重启后又会出现，，不借助工具 如何清除啊

    这个病毒通过U盘自动播放感染,执行根目录下的setup.pif,并在system32里生成Lcass.exe.

    如果结束Lcass.exe进程,5秒中内又会自动冒出来.好像直到今天rising才能查杀(我可是发现当天就报告给rising了,??效率啊……)

    那天费了我半个小时才手工清除掉,贴出来分享一下:

    编辑如下批处理文件,比如存为c:\1.bat(不会编的在网上搜一下,这里不说了)

kill lcass.exe -f

regsvr32.exe /u /s ntsvc.ocx

pushd c:\windows\system32

attrib lcass.exe -h -s -r -a

del lcass.exe

attrib ntsvc.ocx -h -s -r -a

del ntsvc.ocx

pause

    编好后存好,并加到注册表自动运行项里(HKLM\Software\Microsoft\Windows\CurrentVersion\Run 新建个字符串值,输入 c:\1.bat 如不会加的在网上搜一下,这里也不说了)
重启就行了.注意看看CMD窗口的输出结果,是不是删除成功了,一般应该没什么问题的

    注明一下批处理的几个地方:

    kill 是个结束系统进程的小工具,微软出的,网上到处都能下;用其他类似功能的也可.必须存到c盘(即与批处理同一个目录下)

    ntsvc.ocx就是这个病毒注册的插件(插入ie和/或explorer进程,监视lcass.exe是否在运行)必需把他反注册才能删除

    c:\windows\system32 是系统目录,按实际目录更改,好像也能用类似$????$的,记不清了

    希望不幸中毒的朋友能顺利清除此病毒!

    你可以用这个软件到安全模式下去处理试试：按杀毒软件提供的路径，记下来 （这种类型的病毒，杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的）

    1.下载一个软件：冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件，下载解压缩后即可使用。

    2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件。

    3.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。用同样的方法排查下system32文件夹，看看有没有同名的.dll文件存在，有的话，一并删除。

    4.搜索注册表里这个文件的键值，删除搜索到的－－如果有的话。

    5.重启电脑，这个东西应该清除干净了!!!! 

【责任编辑: lanier】