发现可疑系统服务:C:\WINDOWS\LASS.EXE

这个东西怎么删除不掉的啊?
而且最近老是出现Foxmail收取邮件那个小框框,不停的收取邮件,点掉还不停出现
但是我已经把Foxmail删除了还有这样的情况

http://forum.ikaka.com/topic.asp?board=28&artid=7828861


木马Trojan.Agent.awa的手工查杀流程：

2、结束木马进程C:\windows\LSASS.EXE。（请到www.27814939.ys168.com下载诺顿进程管理器终止C:\windows\LSASS.EXE的进程）
3、删除木马文件（见附图）
4、重启。清理注册表：
先将RegFix或SREng的后缀改为.com 或.bat，再运行之。（恢复HKEY_CLASSES_ROOT\.exe的键值）。（或到C:\WINDOWS找到regedit.exe，将其它改名为regedit.com）
展开：HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开：HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开：HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome"
展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Top
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0

我按照你说的找了
但是找不到那个进程C:\windows\LSASS.EXE
只有系统的那个,而且我C下只有\windows\LASS.EXE这个文件
找不到LSASS.EXE 
你能不能有什么别的办法弄掉它啊
而且我收取邮件的那个小框框老出现收邮件

我上面的进程是LASS.EXE  不是那个LSASS

这是我用诺顿进程管理器导出来的系统进程
alg.exe640C:\WINDOWS\System32\alg.exe
CCenter.exe1156d:\Program Files\Rising\Rav\CCenter.exe
csrss.exe688C:\WINDOWS\system32\csrss.exe
ctfmon.exe664C:\WINDOWS\system32\ctfmon.exe
Explorer.EXE352C:\WINDOWS\Explorer.EXE
IEXPLORE.EXE244C:\Program Files\Internet Explorer\IEXPLORE.EXE
iexplore.exe3560D:\Program Files\Internet Explorer\iexplore.exe
lsass.exe772C:\WINDOWS\system32\lsass.exe
Ravmon.exe620D:\Program Files\Rising\Rav\Ravmon.exe
Ravmond.exe1388d:\Program Files\Rising\Rav\Ravmond.exe
RavStub.exe1708d:\Program Files\Rising\Rav\RavStub.exe
RavTask.exe408D:\Program Files\Rising\Rav\RavTask.exe
rfwmain.exe660D:\Program Files\Rising\Rfw\rfwmain.exe
rfwsrv.exe1452d:\program files\rising\rfw\rfwsrv.exe
services.exe760C:\WINDOWS\system32\services.exe
smss.exe632C:\WINDOWS\System32\smss.exe
spoolsv.exe1604C:\WINDOWS\system32\spoolsv.exe
svchost.exe940C:\WINDOWS\system32\svchost.exe
svchost.exe1020C:\WINDOWS\system32\svchost.exe
svchost.exe1172C:\WINDOWS\System32\svchost.exe
svchost.exe1248C:\WINDOWS\system32\svchost.exe
svchost.exe1364C:\WINDOWS\system32\svchost.exe
taskmgr.exe1000F:\临时\诺顿进程管理器\Norton Process Viewer\taskmgr.exe
wdfmgr.exe1932C:\WINDOWS\system32\wdfmgr.exe
winlogon.exe712C:\WINDOWS\SYSTEM32\winlogon.exe

我弄了好半天都没有弄明白这个是什么东西
我用木马克星杀过  但是就是提示可疑系统服务:C:\WINDOWS\LASS.EXE
什么木马也没有杀到

C:\WINDOWS\system32\msdmo.dll文件被系统注入: D:\Program Files\Internet Explorer\iexplore.exe 程序
这个什么呢?

下载HijackThis...把日志帖上来..

Logfile of HijackThis v1.99.1
Scan saved at 14:22:44, on 2006-7-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Rising\Rav\Ravmond.exe
d:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
D:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Rising\Rav\RavMon.exe
D:\Program Files\Rising\Rfw\rfwmain.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
F:\临时\ha_hijackthis_1991\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - d:\Program Files\BitComet\BitCometBar\BitCometBar0.3.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [StormCodec_Helper] ; "d:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [RavTask] "d:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [RfwMain] "d:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - Extra context menu item: 使用网际快车下载 - D:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ\QQIEHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143983378164
O17 - HKLM\System\CCS\Services\Tcpip\..\{602E2B3F-8359-46D8-84A9-D75A6A90C890}: NameServer = 202.102.192.68 202.102.199.68
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - (no file)
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\Ravmond.exe
O23 - Service: usit (用于系统信息交互) - Unknown owner - C:\WINDOWS\lass.exe

【回复“qslaqq”的帖子】
O23 - Service: usit (用于系统信息交互) - Unknown owner - C:\WINDOWS\lass.exe
用HijackThis修复这项。
重启。
显示隐藏文件。
找到并删除C:\WINDOWS\lass.exe