Извините если задал вопрос не в том разделе, но я откровенно задолбался искать ответ на этот вопрос
Примерно после недели как я в очередной раз переустановил винду, я столкнулся с вирусом, который очень долго долбал мне мозги, это был вирус lsass.exe, через некоторое время он исчез, но оставив свои остатки, вобщем этот вирус снял с автозагрузки explorer.exe
В интернете я нашёл решение, в реестре у параметраа shell должно быть значение explorer.exe и ничего более, но у меня прописано Explorer.exe "C:\Users\neeDspeeD\AppData\Roaming\lsass.exe" и вот он чёртов lsass.exe но при удалении лишнего а точнее "C:\Users\neeDspeeD\AppData\Roaming\lsass.exe" эта же строка восстанавливается снова, а как такового файла lsass.exe нет, и по видимому он таки и удалился антивирусом, и винда хочет его загрузить, но его нет и по этому она ничего не делает, мне приходилось при каждом включении вручную запускать explorer и это уже порядком надоело
Вопрос в том что я не знаю как удалить из реестра строку "C:\Users\neeDspeeD\AppData\Roaming\lsass.exe" если она восстанавливается?

Он не будет восстанавливаться сама по себе - его тебе восстанавливает зловредное ПО.

а как такового файла lsass.exe нет
Вам может показаться, что его нет - есть такое понятие, как руткит, перехватывающий функции и выдающий ложный результат.
Например, вы открываете папку C:\Users\neeDspeeD\AppData\Roaming, вызывается функция в стиле "Отобрази мне Windows содержимое папки". Руткит видит, что вызвали эту функцию, перехватывает, удаляет отсюда строчку с упоминанием о файле lsass.exe и вы в итоге этот файл не видите, хотя фактически он присутствует.

И что мне теперь делать?

Если решать проблему насчет строчки с explorer.exe, не затрагивая тему об инфекции, то можно попробовать принять следующую политику:
Пуск>Выполнить>gpedit.msc>Конфигурация пользователя>Административные шаблоны>Система>Включаете "Особый интерфейс пользователя" и задаёте explorer.exe

Needspeed, А вот у меня этот самый lsass.exe »
в процессах находится, и ничего такого страшного я не замечаю.Может чего-то я не так понял?

Можно поподробнее,у меня при входе пишет что невозможно отобразить все элементы activeX, приложение может работать неправильно
2 где включить особый интерфейс пользователя?

Недавно была проблема такая, эксплорер у меня не убрался из автозагрузки, всего лишь он запускался сквозь вирус (или через пустое место, оставшееся от вируса)
скажи, какое значение у тебя в реестре в HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell
да, и можно поподробней, это виста или семёрка?
LSASS (http://ru.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service) - не вирус, хотя через него нередко пролезают вирусняки
да, кстати, попробуй при включении компа открыть диспетчер задач и через него запустить эксплорер, скажи результат

LSASS - не вирус »
процессах находится, и ничего такого страшного я не замечаю.Может чего-то я не так понял? »
Вы обратили внимание на путь? Он должен находиться в C:\WINDOWS\system32\lsass.exe, но никак не в C:\Users\neeDspeeD\AppData\Roaming\lsass.exe - тупо маскировка под системный процесс Windows'а, этот трюк с похожими именами легко можно обнаружить, если использовать Process Explorer вместо штатного диспетчера задач.

Needspeed
Лучше возьмите на вооружение AVZ и посмотрите, сколько нарушений в системе он выявит.

да, кстати, попробуй при включении компа открыть диспетчер задач и через него запустить эксплорер, скажи результат »
А это что?
мне приходилось при каждом включении вручную запускать explorer и это уже порядком надоело »

А это что?
Цитата Needspeed:
мне приходилось при каждом включении вручную запускать explorer и это уже порядком надоело » »
Да, читаю я через слово иногда=)
Тогда, вероятно, моя версия отпадает, хотя не полностью

У меня семёрка, попробую через avz,хотя врядли поможет,и кстате в последнее время при ручном запуске у меня експлорер стал зависать!

Тогда, вероятно, моя версия отпадает, хотя не полностью
Версия о том, что запускается поддельный explorer.exe? Вполне может быть - заразил explorer.exe вот он тебе и чужой. Хотя обычно любят внедрятся в него через какой-нибудь плагин для explorer.exe.

Needspeed
Также если есть загрузочный диск - используйте его и запустите сканеры, например Kaspersky Virus Removal Tool, CureIT, NOD32 On-Demand Scanner.

Или использовать жесткий вариант - переустановка Windows. Только проблема в том, что я не знаю, через что вы подхватили это, так что если дырка не будет закрыта - вы снова испытаете это на себе.

myhouse_1991, Я посмотрел у меня этот exe-шный файл там и находитсяC:\WINDOWS\system32\lsass.exe »
Да и вообще какой тогда смысл отказывать себе во всем, собирать деньги на антивирус , чтобы он потом заразу всякую на компьютер запускал.

Да и вообще какой тогда смысл отказывать себе во всем, собирать деньги на антивирус , чтобы он потом заразу всякую на компьютер запускал. »
Какой антивирус у тебя стоит? Обновлял его регулярно? Не баловался регулярным отключением самого антивируса или части его функционала?

Предлагаю также обратиться за помощью в раздел Лечение систем от вредоносных программ (http://forum.oszone.net/forum-87.html), в котором помогут проверить - насколько полноценно ты избавился от зловредов.

Я посмотрел у меня этот exe-шный файл там и находится
Так это сервис, он всегда есть. Просто никто не запрещает запустить lsass.exe из другой пути с тем же именем. Process Explorer может показать из какой директории он был запущен, но это работает если нет руткита (он может перехватить запрос и дать ложный результат) и вирусописатель не использовал трюки с переименованием папки.

У меня Касперский 9.0.0.459 ,базы раз пять в день обновляет.xoxmodav, Вы лучше вот что

обьясните:я поставил IDM, скорость у меня очень маленькая : через USB - модем связь

идет,хотел чуть увеличить,начал скачивать и вижу что у меня все также осталось 20-30 Kb/s,

а в сеть фиг его знает куда что-то большие обьемы информации какой-то стали уходить. Я

удалил конечно от греха подальше этот загрузчик. Касперский ничего не заподозрил .Может

вопрос не по теме конечно но все же интересно было бы узнать ваше мнение?

pankraty, надо было мониторить трафик, чтобы понять что откуда, куда, зачем и почему тянет.

Если я правильно понимаю, то IDM - это "Internet Download Manager", который далеко не бесплатный? Ставили триал-версию или "вылеченную"? Каким образом определили объёмы исходящего трафика?

Я не знаю как мониторить.Версия "вылеченная" конечно. А узнал очень просто : вместе с модемом программа идет и там все показатели сколько ушло,сколько пришло. FDM легальный позже установил там нормально все.Но я не сказал что это в торенте происходило , может IDM интегрировался, и на радостях дул и нашим и вашим по максимуму.

xoxmodav, Вы оказались правы Касперский кое-что все таки пропускает.Я на досуге решил почитать информацию которую вы

посоветовали.Про Cureit слышал давно от знакомого программера , вот решил опробировать и вот что имею вам сообщить : в

усиленном режиме он сразу обнаружил объект cmdcow.exe который сидел в C:\Windows\System32 , статус:Tool Process

Kill.18 ,также вывалилось сообщение что модифицирован какой-то файл Hosts мне это ничего не говорит ну раз нашел значит

надо ,предложил то ли поменять то ли восстановить

точно не помню, а тот cmdcow.exe я ничего ни придумал больше как его удалить.Cureit
распознал его как программу взлома(что это и насколько опасно?)

В карантине после ребута файл hosts и descript.ion, я в информатике ни силен но так понял что они связаны как-то. В связи с

вышеизложенным жду вашей оценки проведенных мной мероприятий.C уваженим pankraty,

в усиленном режиме он сразу обнаружил объект cmdcow.exe который сидел в C:\Windows\System32 , статус:Tool Process
Kill.18 ,также вывалилось сообщение что модифицирован какой-то файл Hosts »
Ничего особо страшного CureIt! не обнаружил. cmdcow.exe - утилита для изменения/закрытия.убиения и т.п. окон программю Ей, конечно, могут воспользоваться зловреды, но они и сами неплохо справляются. Что касается hosts - CureIt! реагирует на любые записи в нём, кроме стандартной:127.0.0.1 localhost Покажите закарантиненый файл hosts, может в нем ничего страшного. В общем, Касперский вполне на уровне Вас защищает. Другое дело - от всей заразы не защитит никто, к сожалению...

Как же не обнаружил батенька?

C:\WINDOWS\system32\cmdow.exe является программой взлома Tool.ProcessKill.18

Да и стал бы просто так я проверять, подозрения у меня были.

А файлик я не знаю чем его просмотреть. Сейчас запакую и приложу изучайте.

А про Kaspersky скажу: не надо забывать что у меня всего лишь обычная урезанная версия KAV

в KIS в половину больше оборона.