能幫忙上傳一下嗎? 偽lsass.exe



贊助商連結


頁 : [1] 2

herdint
2006-09-25, 01:02 PM
系統為win2000 server
我是用TcpView 此軟體分析,看哪一個程式正在連線

發現此檔案會自動連線至 87.117.224.160 (應該是攻擊)
造成連線速度變慢,且會感染區網內的電腦

此檔案原本放在 C:\WINNT 並且隱藏,偽裝為系統檔

所以在搜尋此檔案時 先點選 工具\資料夾選項\檢視
將 隱藏保護的作業系統檔案(建議使用) 的勾 取消
再選擇 顯示所有檔案和資料夾

先利用 tcpview 結束 偽lsass.exe 滑鼠右鍵 end process...
然後再close connection

因為我發現 windows工作管理員 居然結束不了 偽lsass.exe,
需要此方法才能刪除

或者可利用 unlocker1.8.5 來刪除此檔

只希望有人能幫忙 上傳給各大防毒公司,以免再次有人受害

謝謝

同時附上此次的工具,方便各位...

lsass.exe 千萬別執行!!!

贊助商連結


ㄚ一
2006-09-25, 01:17 PM
lsass.exe這個檔案KAV會報喔
但是bd不報..

proll
2006-09-25, 01:23 PM
還是比較新的病毒W32/Sdbot.IGL.worm
Panda 9.20日病毒庫可以清除,Truprevent在不需要病毒庫的情況下可以啟發查出此病毒。

herdint
2006-09-25, 01:31 PM
感謝各位

因為我的
Symantec AntiVirus Corporate 10 一點反應都沒有 = ="

ukawa_jap
2006-09-25, 01:41 PM
AVK2006

http://imagecloset.com/upload/db37d308.gif

herdint
2006-09-25, 02:10 PM
請問norton 2003 是屬於哪一塊的??

這麼多有反應.... 無言了

因為我有用 kaspersky的線上掃描

那時 隱藏保護的作業系統檔案 並沒有取消,可能因此沒有掃描到

ㄚ一
2006-09-25, 02:12 PM
請問norton 2003 是屬於哪一塊的??

這麼多有反應.... 無言了

因為我有用 kaspersky的線上掃描

那時 隱藏保護的作業系統檔案 並沒有取消,可能因此沒有掃描到
屬於Symantec(賽門鐵克)旗下

sai7sai
2006-09-25, 04:00 PM
PC-cillin偵測為WORM_SDBOT.HO

D2K8X8
2006-09-29, 08:54 AM
Symantec
2006/9/27 rev.18已可掃到W32.Spybot.Worm並隔離成功

herdint
2006-09-29, 11:34 AM
Symantec
2006/9/27 rev.18已可掃到W32.Spybot.Worm並隔離成功

終於 = ="
賽門終於找到了... 不過感覺這次慢半拍了...
害我以為是新病毒勒