今天终于杀了Lcass.exe病毒！

今天分析PPTP的报文，发现机器老往tzhen.3322.org发送数据，就baidu了一下，发现居然是Lcass.exe病毒……这个进程都发现好几个月了，我还一直以为是系统服务，杀毒软件报过几次警，觉得烦人，就干脆把杀毒软件都给关了。

在公司更新了病毒库，提示重启后才能删除Lcass.exe，重启后，把相应的文件Lcass.dll，Ntsvc.ocx，Mswinsck.ocx都给删了，注册表里有这几项的项也都给删了。把优盘里的autorun.inf和Lcass.exe也给删了。回到家，发现家里电脑和移动硬盘也有这毒……而且杀毒软件上次更新还是在2月份春节的时候，都关了9个月了，今天更新了12.7M的文件@@

下面是病毒的一些描述：

W32病毒 W32.Cassel 危害级别：★★☆☆☆
    
    根据光华反病毒研究中心专家介绍，W32.Cassel 是一个W32病毒，长度 208,923 字节，感染 Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000 系统。它复制自身到移动盘，打开后门。当收到、打开此病毒时，主要有以下危害：
    
A 复制自身到
  系统目录\Lcass.exe
B 创建注册表项
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\”Lcass” = “%System%\Lcass.exe”
  使得病毒每次开机后自动执行
C 生成文件 系统目录\mswinsck.ocx
D 复制自身到移动盘
  [盘符]\RECYCLER\Lcass.exe
  [盘符]:\autorun.inf
E 在HTTP 的端口 88 打开后门，等待黑客访问
F 连接到 tzhen.3322.org，发送计算机名、ip地址、后门端口号等其他收集到的信息