如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在d盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联

以win98为例:打开ie属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到d：删除command.com和autorun.inf两个文件，最后重启电脑到dos 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是xp系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到windows桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！
在进程里可以见到有两个相同的进程，分别是lsass.exet和lsass.exe.同时在windows下生成lsass.exe和exert.exe两个可执行文件，且在后台运行。lsass.exe管理exe类执行文件，exert.exe管理程序退出。下载个进程管理器，找出问题进程的路径，手动终止lsass.exe和exert.exe两个进程（管理器不能终止lsass.exe,提示系统进程不能终止），打开msconfig.exe取消lsass.exe启动项。删除c:\documents and settings\administrator\local settings\tempt和temporary internet files下的文件,断开网络后再删除c:\program files\common files\update文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容：
windows registry editor version 5.00
[hkey_local_machine\software\classes\.exe]
@="exefile"
"content type"="％1，%*"
[hkey_local_machine\software\classes\.exe\persistenthandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
或用工具恢复注册表。

是javqhc木马，只要中了这种病毒快捷方式无论你点什么杀毒软件都会自动删除，当然，拥有自我保护系统的不会。360安全卫士和瑞星2008可清除。（360安全卫士记得安装自我保护系统，要用清理木马全盘清理才行，恶意软件查杀杀不了）

注意标题中的lsass.exe和lsass.exe，假如你的任务中同时看到了这两个进程，那么恭喜你，你的电脑中招了。由系统执行的 lsass.exe是“无害”的系统进程，用于微软windows系统的安全机制，本地安全和登陆策略。单独出现lsass.exe那是正常的，不过出现了lsass.exe就说明你的电脑中了windang.worm、irc.ratsou.b、webus.b、mydoom.l、randex.ar、 nimos.worm病毒，或者是该病毒的变种。该病毒通过软盘（这个基本上绝种了吧？）、群发邮件和p2p文件共享进行传播。

如果不幸中招了，那也不要紧张，我们可以通过下面步骤手动清除它。

●打开“我的电脑”——工具——文件夹选项——查看

●把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;

●勾中“显示所有文件和文件夹”

●用ctrl+alt+del调出windows务管理器,想通过右击当前用户名的lsass.exe(也有可能是小写的 lsass.exe，但是注意是当前用户的)来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;点到任务管理器进程面版，点击菜单，”查看”-”选择列”，在弹出的对话框中选择”pid(进程标识符)”，并点击”确定”。找到映象名称为”lsass.exe“，并且用户名不是”system”的一项，记住其pid号.点击”开始”——运行，输入”cmd”，点击”确定”打开命令行控制台。

输入”ntsd –c q -p (这里填写你在任务管理器里看到的lsass.exe的pid列的数字，是当前用户名进程的pid，别看错了)”，比如计算机上进程pid是2264，那就输入”ntsd –c q -p 2264〃.这样进程就结束了。

▼如果结束了又会出现，那么用下面的方法

进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).

用ewido可以直接禁止结束掉的

●上面主要是把进程中止，接下来是删除病毒文件

需要删除的文件有这么一些：
c:/program files/common files/intexplore.pif (有的没有.pif)
c:/program files/internet explorer/intexplore.com
c:/windows/exert.exe
c:/windows/io.sys.bak
c:/windows/lsass.exe
c:/windows/debug/debugprogram.exe
c:/windows/system32/dxdiag.com
c:/windows/system32/msconfig.com
c:/windows/system32/regedit.com

●做的彻底一些，删除注册表中的其他垃圾信息，这一步工作如果你装有free window registry repair这样的注册表清理工具的话，那就不需要手动清除了，执行free window registry repair进行清理就可以了。下面是手动清除的需要删除的项目：
1、hkey_classes_root/windowfiles
2、hkey_current_user/software/vb and vba program settings
3、hkey_current_user/software/microsoft/internet explorer/main下面的 check_associations项
4、hkey_local_machine/software/clients/startmenuinternet/intexplore.pif
5、hkey_local_machine/software/microsoft/windows/currentversion/run 下面的top项

●修复注册表中被篡改的键值

①、将hkey_classes_root/.exe的默认值修改为 “exefile”(原来是windowsfile)

②、将 hkey_classes_root/applications/iexplore.exe/shell/open/command 的默认值修改为 “c:/program files/internet explorer/iexplore.exe” %1 (原来是intexplore.com)

③、将hkey_classes_root/clsid/{871c5380-42a0-1069-a2ea- 08002b30309d} /shell/openhomepage/command 的默认值修改为”c:/program files/internet explorer/iexplore.exe”(原来是intexplore.com)

④、将hkey_classes_root /ftp/shell/open/command hkey_classes_root/htmlfile/shell/opennew/command的默认值修改为”c:/program files/internet explorer/iexplore.exe” %1 (原来的值分别是intexplore.com和intexplore.pif)

⑤、将hkey_classes_root /htmlfile/shell/open/command 和hkey_classes_root/http/shell/open/command的默认值修改为”c:/program files/internet explorer/iexplore.exe” –nohome

⑥、将hkey_local_machine/software/clients/startmenuinternet 的默认值修改为”iexplore.exe”.(原来是intexplore.pif)

●关掉注册表编辑器,重新启动，这样就ok了~~~

其实不要怕，你想呀，这个病毒这么厉害，竟然能干掉瑞星防火墙，360安全为卫士，说明此病毒不是一般的利害，而那些杀毒软件厂商一定对此病毒有所了解，一定找到了此病毒的清除方法，不然一定会在媒体上公布此病毒，你就在网上在线杀毒，把你的电脑好好的检查一下，我想这么多品牌的在线杀毒还敢不掉一个病毒，你就按我说的去做绝对没问题

那肯定不只有一个病毒了
建议 还原系统或 重装系统
很可能系统文件被破坏了

最好重做系统，楼上的都已经说过了，但是也可以安装诺顿试试，这个软件不错的

360不要和瑞星一起用啦


donews 8月4日消息 据消息人士透露，根据大量测试表明，360安全卫士在杀毒软件安装、卸载、升级重启事会弹出消息，进行误导性的提示，将杀毒软件、防火墙的正常加载等行为，描述为“一个未知的系统启动项正在被装入”、“篡改系统启动项”等。除了有时会提示全部英文的软件路径之外，并将这些公众所熟悉的杀毒软件厂商的名字被抹去。

在普通用户眼里，这和拦截一个流氓软件的表现几乎没有区别。在这种误导性的提示下，许多用户会选择“阻止此动作”。先欺骗误导用户，再让用户去行使“选择权”，这就是360安全卫士的如意算盘。

被阻止后的安全软件，有的监控失效、有的无法升级、有的无法随电脑开机自动启动、有的无法重新安装。受360安全卫士影响的安全软件包括瑞星、江民、金山、诺顿、卡巴斯基、趋势科技等几乎所有主流产品。

360安全卫士故意误导用户主要有三个办法。

1、 抹去出品公司名。众所周知，不光杀毒软件，任何正常使用的软件产品都是有出品公司的，只有流氓软件、病毒才没有出品公司名。
2、 将安全软件的正常行为，说成是“一个未知的系统启动项”。这和拦截一个未知流氓软件、未知病毒时的表现一样。
3、 对“瑞星卡卡”等直接竞争产品的描述为，“篡改系统启动项”。用“篡改”这种最直接的贬义词汇，去误导用户阻止该产品的正常运行。

装系统把，这样的毒是杀不了的了，已经中毒太深，即使杀掉了系统也会很不好用的。

先不要用360的安全卫士，直接先下载360的 顽固木马专杀
http://www.360.cn/?uid=1&pid=updated&m=ee1e03b97e1d6f49240f1946e817d8ca

下载的是压缩包，直接释放了，然后开始启动扫描木马

然后再重新启动360用安天引擎扫描木马，瑞星基本不问事的，卸掉重新装个卡巴斯基。


到有没有显示 ntsd.exe错误的？如果有这个问题要删除注册表的病毒修个的子键的，你看先看一下

美女看过来啊~~~



不错,这木马很厉害,呵呵
直接重灌吧,速度快多了
不重灌也行`用进程软件关闭可以进程,再启动360扫木马,或者nod32卡巴斯基扫病毒
,最后清理一下注册表就ok了
有兴趣就下载下面的软件搞搞吧
icesword冰刃(杀进程)
http://www.greendown.cn/soft/2357.html
sreng(启动项目删除,干掉iefo,如果这个无法运行,请把名字改掉,改成啥都行)
http://www.greendown.cn/soft/1907.html