lssass.exe可能是個木馬（后門）一類的東東。瑞星19.39.30病毒庫查不到此毒。

　　這個木馬比較狡猾。處理時須仔細(xì)分辨真假。否則，容易上當(dāng)！

　　木馬運行后，用假SERVICES.EXE替換真正的系統(tǒng)程序services.exe（將C:\WINDOWS\system32\目錄下的系統(tǒng)程序services.exe改名為hbaxcsnp.dll，移到C:\WINDOWS\system32\wins\目錄）；C:\WINDOWS\system32\目錄下的SERVICES.EXE變?yōu)槟抉R程序。這個假冒的SERVICES.EXE文件大小與真的系統(tǒng)程序相同，只是MD5值不同。此外，還釋放一個qrafgsy.dll到C:\WINDOWS\system32\目錄下，此dll插在那個假冒的SERVICES.EXE進(jìn)程中運行。

　　中招后的典型癥狀：

　　用IceSword查看進(jìn)程列表時，可以發(fā)現(xiàn)兩個services.exe進(jìn)程。一個是dll圖標(biāo)（真正的系統(tǒng)進(jìn)程；圖1），另一個是.exe圖標(biāo)（木馬進(jìn)程；圖2）。用SRENG掃日志，唯一可見的異常是:






 [PID: 628][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[PID: 1716][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\UmxSbxExw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\UmxSbxw.dll] [Computer Associates International, Inc., 6.0.1.58]
[C:\windows\system32\qrafgsy.dll] [N/A, ] 


　　注意：進(jìn)程號為PID:1716的services.exe進(jìn)程中有一個異常模塊qrafgsy.dll。
說到這兒，有必要強調(diào)一個基本常識：真正的系統(tǒng)進(jìn)程services.exe加載較早，其PID號不會太大。單憑進(jìn)程號判斷，也可知道PID: 1716的那個SERVICES.EXE是假的。

　　用IceSword的手工殺毒流程：

　　1、結(jié)束那個假冒的SERVICES.EXE進(jìn)程。注意：千萬不要結(jié)束那個DLL圖標(biāo)的services.exe進(jìn)程（指向C:\WINDOWS\system32\wins\hbaxcsnp.dll），否則，系統(tǒng)立即崩潰、重啟。
　　2、刪除C:\WINDOWS\system32\目錄下的SERVICES.EXE和qrafgsy.dll（圖3）。
　　3、將C:\WINDOWS\system32\wins\hbaxcsnp.dll改名為services.exe，拷回C:\WINDOWS\system32\目錄。
　　4、重啟。

最新評論