解决方案：

1、结束LSASS进程。因为该进程为系统进程(其实不是，只是伪装，但是操作系统本身不能识别)，所以，无法在进程管理器中直接停止。我们只能够通过注 册表，或者在DOS窗口中，利用NTSD命令强行停止。NTSD是从微软的2000以后的操作系统中自带的用户调试工具。被调试器附着的进程会随调试器的 退出而一起退出。所以，可以同这个命令在命令行窗口下强行终止进程。但是，一般情况下，NTSD命令不能杀掉SYSTEM用户运行的进程。不过还 好，LSASS病毒的LSASS进程是不是以SYSTEM用户运行的。从这里我们可以看出，在进程管理器中，其结束进程的话，有时候是按进程的名字来限制 的;但是，利用NTSD命令的话，他考虑的是以什么身份进行运行的。故利用NTSD命令可以停止一些伪装系统进程运行的非法进程。利用这个命令，也可以禁 止上面谈的CSRSS非法进程。当然，以SYSTEM运行的合法系统进程是结束不掉的。具体的命令为ntsd –c q –p 进程ID.通过进程管理器,可以查到非法进程的ID,就可以通过这个命令禁止掉了。

2、删除病毒文件。LSASS病毒会在其他盘下生成两个文件，分别为Autorun.inf与command.com文件。一般这两个文件的属性是隐藏 的。所以，我们需要把文件的显示属性设置为“显示隐藏文件与系统文件”才会看到这个两个文件。找到他们，然后把他们删除。同时，在启动盘下，可能会有一些 病毒文件，如EXERT.EXE等，我们也要把他们一一找出来，删除掉。不然的话，下次还是会中招。

3、修复注册表。这个病毒在注册表中会生成比较多的垃圾，所以，若是手工清除的话，一方面，不一定能够全部清除干净，另一方面，也可能一不小心，产生一些错误。此时，我们最好利用我们最近备份的注册表备份文件，直接进行恢复。

4、从网上下载专杀工具或者升级我们的杀毒软件，进行全面的查杀。

5、为了安全起见，需要提醒我们的员工，及时更改我们的帐户密码。因为用户 的密码很可能已经泄露出去。如果不及时把密码改过来的话，不法分子可以利用他们已经得到的用户名与密码，进行一些非法的勾当。

以上这两种进程都是盗号木马的工具。对于这些盗号木马进程，一般情况下，不会对系统运行造成什么影响。所以，相对来说，比较隐蔽。但是，其危害性，确实比 其他病毒大的多。有些病毒只是恶作剧的性质，最多只是让操作系统崩溃或者造成网络拥塞。而企业的文件、帐户信息等不会泄露出去。所以，这些恶作剧的病毒危 害性反而小一点。

所以，为了保障企业网络的安全，最好的办法还是部署企业级别的杀毒系统。如此的话，可以实现在用户不用干预的情况下，对杀毒软件进行及时的升级，防止病毒与木马入侵。

一般来说，任何的网络攻击行为，无论是病毒还是木马，其发生的时候，肯定会在系统中留下一些痕迹。我接着谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭，及对应的解决方法。或许能够给正在遭受网络安全困扰的用户，一些帮助。

三、SMSS进程异常

SMSS进程是会话管理子系统的进程，他主要用来初始化系统变量。正常情况下，他是以系统用户名(system)身份运行，并且运行目录是在 SYSTEM32下面。这个进程是通过系统进程初始化的并且对许多活动的系统变量作出反映。其实这个进程我们平时也经常会感受到。当某个程序发生异常 时，SMSS进程就会让系统停止响应。有时候我们在网上冲浪系统突然提示网页发生错误将关闭，就跟这个进程有关系。这个进程的正常运行，对于系统稳定性来 说，是非常重要的。

但是，这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象，那么就要恭喜你了，你中木马了。

异常现象：

1、不是以系统用户名(system)身份运行的，并且，运行目录不是SYSTEM32下面的，那么就说明这个进程有异常。我们要注意，若是系统的正常的 SMSS进程，一定是以系统用户名运行的，并且，一定是在SYSTEM32目录下运行。否则的话，就不是系统本身的SMSS进程，很可能是木马伪造的进 程。

(责任编辑：闫小琪)