这个病毒在我校BBS最近频繁出现，没想到被我撞上

我的机器较老，所以没装SP2，又偏爱IE，就打上最新SP一直用着。
今晨浏览网页时，突然闪过黑色的DOS窗口，心知不妙，中招了。

运行msinfo32，果然发现可疑模块systemlr.dll

运行hijackthis,04-自动运行项多了三项 ntdhcp.exe explorer.exe lsass.exe，查看各进程，非系统进程都多了systemlr.dll模块。EXE关联被修改，而且并非常见的修改exifle\shell\command键，而是修改.exe键指向模仿exefile的winfiles。

运行ICESWORD，文件查看c:\windows c:\windows\system32
按修改时间排列，果然，在中毒时间，多出了N个文件.

有了病毒文件样本，按照其大小搜索硬盘，发现

C:\WINDOWS\Debug\DebugProgram.exe
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
显然和IE有关，在注册表里搜索以上项，发现其修改了HTML文件关联和开始菜单左快上方IE快捷方式。

病毒很狡猾，只在D盘上劫持了系统自动播放功能。
在d:\放置autorun.inf command.com(隐藏）

此外还包括
c:\windows
          \exert.exe kb2105312.log
c:\windows\system32
          \ntdhcp.exe dxdiag.com msconfig.com regedit.com

总结病毒采用的招数有：
初级招数：修改系统启动项;利用扩展名的优先顺序，冒充regedit,msconfig,dxdiag程序
中级招数：修改EXE关联；劫持硬盘分区自动播放；在系统正常EXPLORER.EXE进程中插入病毒线程;劫持HTM文件打开方式和开始菜单的快捷表;修改appinit_dll键
高级招数：没有。没有ROOTKIT技术。

处理过程：
因为病毒招数很多，所以应该注意处理过程，先运行一个注册表修复软件，如瑞星公司提供的。
然后使用ICESWORD，结束LSASS.EXE anskya2.exe ntdhcp.exe进程
使用修复软件修复EXE关联，或手工用ICESWORD修复
用ICESWORD文件查看功能，打开c:\windows,按修改时间排列文件，删除exert.exe及其他同
时间的文件。同样的，对c:\windows\system32操作，寻找ntdhcp.exe及与其等相同时间文
件。

在开始菜单运行regedit.exe
修改
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints
2，若其下某键含shell\command(注意不是shell\autoplay)，删掉该shell，也即 使分区自
动播放功能失效。删除有关系统启动项.
在整个注册表搜索intexplore.com 和 intexplore.pif ，
修改intexplore.pif为iexplore.exe
修改intexplore.com有关键值为C:\Program Files\Internet Explorer\iexplore.exe
使用hijackthis,修复appinit_dll项

之后重启，删除其他有关文件。注意它们都是隐藏文件，尤其是各分区根目录下。
用ICESWORD监控重新打开该网页，发现病毒样本，18.6K，已经上报

请楼主注意打好系统补丁

真巧，今天早早的时候我也玩了一下lsass.exe
这个东东卡巴在2点前不报。
以下是我对它的心得。

中了这个病毒后，病毒会自动在C:\WINDOWS里面安装这几个文件。
EXERT.exe
LSASS.exe
IO.SYS.BAK
同时会修改系统的EXE关联。
使用系统自带的管理器无法终止LSASS进程。
需要下载ICESWORD等第三方的软件


ICESWORD你可以到www.27814939.ys168.com里下载。
注意一点，杀病毒前，先运行System Repair Engineer，使用“系统修复，文件关联，勾选“全选”点“修复”使所有扩展名都恢复正常。
运行System Repair Engineer，使用“启动项目，注册表”来删除LSASS。EXE的项。
然后打开ICESWORD，在“进程”里，找到LSASS。EXE，右击终止
双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示您确定更改时，单击“是”
删除
EXERT.exe
LSASS.exe
IO.SYS.BAK
以上解决的顺序不要错，尤其是第一步。要不然，病毒又活了

引用:

【我无邪的贴子】真巧，今天早早的时候我也玩了一下lsass.exe 这个东东卡巴在2点前不报。 以下是我对它的心得。 中了这个病毒后，病毒会自动在C:\WINDOWS里面安装这几个文件。 EXERT.exe LSASS.exe IO.SYS.BAK 同时会修改系统的EXE关联。 使用系统自带的管理器无法终止LSASS进程。 需要下载ICESWORD等第三方的软件 ICESWORD你可以到www.27814939.ys168.com里下载。 注意一点，杀病毒前，先运行System Repair Engineer，使用“系统修复，文件关联，勾选“全选”点“修复”使所有扩展名都恢复正常。 运行System Repair Engineer，使用“启动项目，注册表”来删除LSASS。EXE的项。 然后打开ICESWORD，在“进程”里，找到LSASS。EXE，右击终止 双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示您确定更改时，单击“是” 删除 EXERT.exe LSASS.exe IO.SYS.BAK 以上解决的顺序不要错，尤其是第一步。要不然，病毒又活了 ...........................

没处理干净。
要删除的文件不止那3个。
注册表清理工作量也很大。

【回复“smthvirus”的帖子】
这就是那个“传奇龙”的变种。最初，其主体文件名为winlogon.exe；后来。又陆续变为csrss.exe、lsass.exe.......。但其释放的那10多个木马文件及注册表改动一直没有什么变化。

传奇木马。修改了注册表很多地方，C:\Program Files\Internet Explorer  中生成了病毒文件

windows目录中生成了2个exe文件，多个com文件，如regedit.com

msconfig.com  dxdiag.com  还有个debug...exe ,文件关联也修改了

还会破坏瑞星\木马克星等软件

【回复“baohe”的帖子】
可是我重启系统后，SSM不报了。
System Repair Engineer日志也正常。

有条件打补丁早打了。

引用:

【smthvirus的贴子】怎么会没处理干净，请注意原文这一段： 用ICESWORD文件查看功能，打开c:\windows,按修改时间排列文件，删除exert.exe及其他同时间的文件。同样的，对c:\windows\system32操作，寻找ntdhcp.exe及与其等相同时间文件。还有program files下的两个，都提到了。 注册表还有一些，如“vb and vba” "winfile"等。 ...........................

1、还有一个：DebugProgram.exe，在windows\Debug\目录下。
2、ntdhcp.exe——另一个木马。与这个木马无关。ntdhcp.exe会导致杀软监控不能加载。不知你纠正过来没？

【回复“baohe”的帖子】

ntdhcp.exe纠正了，那个debugprogram,后来在网络上搜索相似病例时发现了，看来跟病毒对战，要很细心才是