系統為win2000 server
我是用TcpView 此軟體分析,看哪一個程式正在連線
發現此檔案會自動連線至 87.117.224.160 (應該是攻擊)
造成連線速度變慢,且會感染區網內的電腦
此檔案原本放在 C:\WINNT 並且隱藏,偽裝為系統檔
所以在搜尋此檔案時 先點選 工具\資料夾選項\檢視
將 隱藏保護的作業系統檔案(建議使用) 的勾 取消
再選擇 顯示所有檔案和資料夾
先利用 tcpview 結束 偽lsass.exe 滑鼠右鍵 end process...
然後再close connection
因為我發現 windows工作管理員 居然結束不了 偽lsass.exe,
需要此方法才能刪除
或者可利用 unlocker1.8.5 來刪除此檔
只希望有人能幫忙 上傳給各大防毒公司,以免再次有人受害
謝謝
同時附上此次的工具,方便各位...
lsass.exe 千萬別執行!!!
書籤