我自己今天也同样中过这病毒~搞了一整天才搞得好呀~~所以大家一定要严格按照这方法~
手工清除：传奇终结者变种JBA（Trojan.PSW.Lmir.jba） EXERT.exe

病毒名称：传奇终结者变种JBA（Trojan.PSW.Lmir.jba）
病毒类型：通过网络传播的盗号木马
病毒危害级别：★★★☆
病毒发作现象及危害：
该病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程，使其不能正常运行。它会频繁检查“传奇”客户端的窗口，如果窗口存在，就会取得当前鼠标的位置，并记录键盘信息，最后把记录下来的信息发送到指定邮箱，从而窃取用户的游戏账号和密码等。

这个病毒比较狠毒，手工清除较为复杂。请用户务必按照步骤严格操作，否则很可能出现无法清除干净的情况。建议一般用户最好使用杀毒软件来清除这个病毒。

手工删除：
一、  结束病毒进程
鼠标右键点击“任务栏”，选择“任务管理器”。点击菜单“查看”－>“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。

找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号。
 
点击“开始”－》“运行”，输入“CMD”，点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”，比如我的计算机上就输入“ntsd –c q -p 1464”。

二、  删除病毒文件
打开“我的电脑”，设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件：
C:\Program Files\Common Files\INTEXPLORE.pif、
C:\Program Files\Internet Explorer\INTEXPLORE.com、
C:\WINDOWS\EXERT.exe、
C:\WINDOWS\IO.SYS.BAK、
C:\WINDOWS\LSASS.exe、
C:\WINDOWS\Debug\DebugProgram.exe、
C:\WINDOWS\system32\dxdiag.com、
C:\WINDOWS\system32\MSCONFIG.COM、
C:\WINDOWS\system32\regedit.com

如果硬盘有其他分区，则在其他分区上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。
 


三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

将Windows目录下的“regedit.exe”改名为“regedit.com”并运行，删除以下项目：
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的  Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。

将HKEY_CLASSES_ROOT\.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”
将HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为“IEXPLORE.EXE”。

重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕。
因为上传不了~所以就给那个专杀工具的地址:http://www.jxust.com/bbs/job.php?action=download&pid=25422&tid=3128&aid=3945

这个LSASS.exe据我所知，无法通过系统的任务管理器所终止。
以下是我亲手杀掉它的心得
中了这个病毒后，病毒会自动在C:\WINDOWS里面安装这几个文件。
EXERT.exe
LSASS.exe
IO.SYS.BAK
同时会修改系统的EXE关联。
使用系统自带的管理器无法终止LSASS进程。
需要下载ICESWORD等第三方的软件


ICESWORD你可以到www.27814939.ys168.com里下载。或者诺顿进程管理器都可以。
注意一点，杀病毒前，先运行System Repair Engineer，使用“系统修复，文件关联，勾选“全选”点“修复”使所有扩展名都恢复正常。
运行System Repair Engineer，使用“启动项目，注册表”来删除LSASS。EXE的项。
然后打开ICESWORD，在“进程”里，找到LSASS。EXE，右击终止
双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示您确定更改时，单击“是”
删除
EXERT.exe
LSASS.exe
IO.SYS.BAK
以上解决的顺序不要错，尤其是第一步。要不然，病毒又活了

【回复“MUHONDA”的帖子】
C:\WINDOWS\system32\下可能还有：
command.com
finder.com
rundll32.com

反正我就是按照那个方法给搞掂了~~~

【回复“MUHONDA”的帖子】
注册表被木马更改22处：

（1）、在HKCU\Software\VB and VBA Program Settings\Microsoft Process Debuger\CRCCode\
添加Name
（2）、在HKEY_CLASSES_ROOT\.lnk\ShellNew添加"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"
（3）、在HKEY_CLASSES_ROOT\.bfc\ShellNew添加"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"
（4）、在HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command添加@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"
（5）、在HKEY_CLASSES_ROOT\dunfile\shell\open\command添加@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
（6）、在HKEY_CLASSES_ROOT\inffile\shell\Install\command添加：@="%SystemRoot%\\System32\\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
（7）、在HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command添加@="finder.com shdocvw.dll,OpenURL %l"
（8）、在HKEY_CLASSES_ROOT\scrfile\shell\install\command添加@="finder.com desk.cpl,InstallScreenSaver %l"
（9）、在HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command添加@="\"C:\\WINDOWS\\System32\\finder.com\" C:\\WINDOWS\\System32\\scrobj.dll,GenerateTypeLib \"%1\""
（10）、在HKEY_CLASSES_ROOT\telnet\shell\open\command添加@="finder.com url.dll,TelnetProtocolHandler %l"
（11）、在HKEY_CLASSES_ROOT\Unknown\shell\openas\command添加@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"
（12）、在HKEY_CLASSES_ROOT\htmlfile\shell\open\command添加@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"
（13）、在HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command添加@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"
（14）、在HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command添加@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""
（15）、在HKEY_CLASSES_ROOT\ftp\shell\open\command添加@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"
（16）、在HKEY_CLASSES_ROOT\Drive\shell\find\command添加@="%SystemRoot%\\explorer.com"
（17）、在HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command添加@="C:\\windows\\ExERoute.exe \"%1\" %*"
（18）、在HKEY_CLASSES_ROOT\winfiles\DefaultIcon添加@="%1"
（19）、将HKEY_CLASSES_ROOT\.exe下的@="exefiles"改为@="winfiles"
（20）、将HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下的"Check_Associations"="Yes"改为"Check_Associations"="No"
（21）、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加"Torjan Program"="C:\\windows\\services.exe"
（22）、将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"改为"Shell"="Explorer.exe 1"

【回复“baohe”的帖子】
那些也有的吗?要看看先才可以~~谢谢这个大大补充说明啦

【回复“baohe”的帖子】
这里也同样要改的吗?

有人试过吗???有什么问题在这里提出来

【回复“MUHONDA”的帖子】
病毒或木马程序好解决
关健是注册表破坏严重

终于搞了个专杀。。之所以难缠，是因为病毒作者想尽方法达到自启动的目的，还破坏安全软件