欣子慧

本软件为lsass.exe和smss.exe病毒（即磁碟机病毒）的专杀工具，基于恶意软件查杀助理辅助工具的查杀引擎，并专门针对该病毒作了强化，能有效查杀该病毒以及被其感染的程序文件和网页文件。 全新加入的感染型病毒分析引擎（病毒变种分析引擎），可以在无需样本的情况下查杀被病毒感染的文件，更可以检测被其它感染型病毒感染的文件，对于一些无法被杀毒软件识别的变种，有很好的检测效果。

病毒特性：
    <1>感染文件。经研究，会感染U盘上和本地磁盘上的应用程序，而且会感染压缩包里的应用程序。因此造成难以清除！病毒还会感染本机内的网页文件，在网页代码最后加上一段加密过的地址，打开网页即下载病毒。
    <2>在系统目录下生成文件。病毒会在C:\WINDOWS\system32\Com目录下生成netcfg.dll、smss.exe、lsass.exe、netcfg.000以及一个bak文件夹（该文件夹主要是用于病毒感染压缩包时的临时文件夹），以及在C:\WINDOWS\system32目录下生成dnsq.dll和在C:\WINDOWS\system32\drivers目录下生成alg.exe文件。
    <3>在每个磁盘根目录下生成文件。病毒会在每个磁盘根目录下生成Autorun.inf、pagefile.exe、ntfsus.exe、ntfsus.exe.bat、NetApi00.sys以及pagefile.pif等文件，并且开启系统的自动播放功能。如果用户双击打开磁盘即又感染。
    <4>通过注册表隐蔽自动启动。使用一般的开机启动项查看工具根本无法发现其痕迹。
    <5>破坏安全模式，使用户无法进入安全模式进行系统修复，并且删除注册表大量键。
    <6>修改文件夹选项，使用户无法查看隐藏的病毒文件，进入文件夹选项，会发现“ 隐藏受保护的操作系统文件(推荐)”项目不见了，病毒还可能会对换“不显示隐藏的文件和文件夹”和“显示所有文件和文件夹”的功能。
    <7>劫持下载功能，当我们下载东西时，其实下载了病毒文件，双击又再度感染！病毒可能会利用arp在局域网内传播。
    <8>关闭一些杀毒软件，使无法杀毒。dnsq.dll会插入进程，导致即使同时结束smss.exe、lsass.exe进程，这两个进程还会再生。
    <9>在C盘根目录，系统目录下生成多个随机七位数字的.log文件。
    <10>在启动文件夹里添加随机字符的应用程序，在注册表启动项添加多个随机启动项（在使用完专杀后请手动删除启动项）。修改AppInit_DLLs值为非正常值。
    <11>smss.exe、lsass.exe进程的用户名变为SYSYEM，更难清除。
    <12>自动打开IE网页。
    <13>病毒还可能会盗取我们的个人隐私以及还可能存在一些未知的风险！

注意：为了能及时更新专杀，请大家最好能把病毒文件发到我的邮箱：lfxwd@126.com（请把病毒压缩再加密，否则可能无法通过邮箱发送。）另外，一般情况下，如果系统中分别只有一个smss.exe和lsass.exe进程，则是正常的系统进程，请放心！

下载地址：本地下载

最新版本:9.0

更新日期:2008-06-16

主要更新:

2008年06月16日 V9.0
增强查杀引擎，全新加入变种识别引擎，无需样本就可以查杀目前几乎所有病毒变种所感染的文件。
增强“强制结束进程模块”，可以更有效的终止病毒进程和模块。
提升进程权限。
自定义扫描路径支持直接输入路径。
改进界面