瑞星卡卡安全论坛

我的电脑近来特慢，打个汉字都要几秒才出现，打开windows任务管理器看到，lasss.exe经常占用CPU  90%以上，请教各位大侠如何解决，谢谢!

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Maxthon)

一.请先使用WINDOWS清理助手清理一下系统
二.请下载一个置顶贴里的SRENG工具
使用它扫描日志，将日志作为附件上传上来。
操作方法：
1、下载后解压缩，运行SREngLdr.exe；
2、如果无法打开尝试把SREngLdr.exe改名为123.bat运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】，存为TXT格式；
5、将保存的报告附件上传而不是粘贴到帖子
注意：
扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等一切应用程序，扫描完毕后操作

进程文件： lsass 或者 lsass.exe
进程名称： Local Security Authority Service 
进程名称： lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

如果你的启动菜单（开始-运行-输入“msconfig”）里有个lsass.exe启动项，那就证明你的lsass.exe是木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生command.com和 autorun.inf两个文件，同时侵入注册表破坏系统文件关联。以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到 D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件，全面杀毒，清除余下的病毒！

LZ有殺過毒嘛？

已用最新瑞星杀过毒，未发现病毒。

我的系统是Win2000的，用msconfig运行，找不到此msconfig文件.

开机时，我用瑞星防火墙把启动选项中的lasss前的勾去掉，扫描结果在附件。

附件: SREngLOG.log

启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[PCIDATA / PCIDATA]    <\??\I:\PCIDATA.sys>

Desk95.exe is included in ATI HydraVision versions 2.5 and earlier.
desk95.exe应为ATI的正常文件，文件及注册表项不需删除。

楼主指的在瑞星防火墙中把启动选项中的lsass.exe前的勾去掉，具体指的是哪一项？

刚才电脑运行特慢，看了下任务管理器的进程，有两个smss.exe，再重启电脑，桌面图标和背景很晚才出现，再看任务管理器的进程，smss.exe只有一个，但lasss.exe又出现了，且占用大量CPU时间，再看瑞星防火墙的启动选项，有两个lasss，多了一个前面打勾的，见下面的内容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run                                                                     
+ HydarVisionDesktopManager                          ATI Technologies Inc.  C:\WINNT\system32\desk95.exe                           
+ WheelMouse                                          A4Tech Co.,Ltd.        d:\Program Files\A4tech\Mouse\AWMMAIN.EXE               
+ lasss                                              aaaa                  C:\WINNT\lasss.exe                                     
+ Smapp                                              Analog Devices        C:\WINNT\system32\Smtray.exe                           
+ AtiPTA                                              ATI Technologies, Inc. C:\WINNT\system32\atiptaxx.exe                         
+ Acrobat Assistant 7.0                              Adobe Systems Inc.    D:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
+ StormCodec_Helper                                                          d:\Program Files\Ringz Studio\Storm Codec\StormSet.exe 
+ lasss                                              aaaa                  C:\WINNT\lasss.exe                                     

附件是最新的SRENGLOG文件。请大侠帮忙，谢谢啦!

附件: SREngLOG.log

操作方法见我签名-手工杀毒的操作方法
病毒文件，要用工具删除并抑制再生

删除启动项及对应文件
<lasss><C:\WINNT\lasss.exe>  [aaaa]

删除浏览器加载项
[@shdoclc.dll,-866]
  {c95fe080-8f5d-11d2-a20b-00aa003c157a} <, >
[]
  {03507A1A-E0C5-4404-AA26-205385C0892D} <, >

[]
  {2EEDA47E-8D5C-4d7e-B4B6-E16E19218555} <, >

删除文件
C:\WINNT\system32\HydraZhs.dll

C:\WINNT\system32\Awmoures.dll

开始-程序-启动项下无lasss。
如何删除浏览器加载项？

:default2:

大侠，用了你的方法，重新启动，又发现了lasss.exe在大量占用CPU时间，再找你说的那些要删除文件，都没有，只有lasss.exe在WINNT目录下。
再有，系统漏洞有两个总是无法修复，每次开机卡卡总会发现，它们是MS08-023和MS08-034。

以上，请大侠帮忙，谢谢!