城市过客

前言：这年头，难得手工杀一回毒了。。一个MP3在别人机器拷了点东西，拿回来就感染了两台电脑。。。
lacss.exe是一个通过可移动磁盘传播的病毒，主要表现为：在可移动磁盘生成一个文件夹RECYCLER，但是图标并不是回收站的样子，生成一个autorun.inf，执行RECYCLER下的Lacss.exe，该文件执行后向system32拷贝自身并生成一个名为Lacss.dll的文件，生成一个名为PnP plug 0n Service的服务，以服务的形式在启动时加载，并感染其他未中该病毒的可移动磁盘，受影响的设备包括U盘、移动硬盘、U盘式MP3等。

剿灭方法：

搜索注册表，Lacss.exe

主要几处位于：

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\
MountPoints2\{5952a912-2160-11dc-bc57-000000000000}

用来指示可移动磁盘的打开方式

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PnP plug 0n Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PnP plug 0n Service
自动生成的服务

任务管理器，停掉Lacss.exe，在system32下删除Lacss.exe，LAcss.dll

在文件夹选项中显示所有隐藏文件和系统文件，用资源管理器打开可移动磁盘（直接双击就又中了），删除autorun.inf和RECYCLER即可

预防方法：关闭所有可移动磁盘自动运行，使用资源管理器打开可移动磁盘，显示所有文件和文件夹，使用记事本打开autorun.inf，看看里面指向哪个文件一并删除

written by 城市过客甲