能幫忙上傳一下嗎? 偽lsass.exe

系統為win2000 server
我是用TcpView 此軟體分析,看哪一個程式正在連線

發現此檔案會自動連線至 87.117.224.160 (應該是攻擊)
造成連線速度變慢,且會感染區網內的電腦

此檔案原本放在 C:\WINNT 並且隱藏,偽裝為系統檔

所以在搜尋此檔案時 先點選 工具\資料夾選項\檢視
將 隱藏保護的作業系統檔案(建議使用) 的勾 取消
再選擇 顯示所有檔案和資料夾

先利用 tcpview 結束 偽lsass.exe 滑鼠右鍵 end process...
然後再close connection

因為我發現 windows工作管理員 居然結束不了 偽lsass.exe,
需要此方法才能刪除

或者可利用 unlocker1.8.5 來刪除此檔

只希望有人能幫忙 上傳給各大防毒公司,以免再次有人受害

謝謝

同時附上此次的工具,方便各位...

[B]lsass.exe 千萬別執行!!![/B]

lsass.exe這個檔案KAV會報喔
但是bd不報..

還是比較新的病毒[I]W32/Sdbot.IGL.worm
Panda 9.20日病毒庫可以清除，Truprevent在不需要病毒庫的情況下可以啟發查出此病毒。
[/I]

感謝各位

因為我的
Symantec AntiVirus Corporate 10 一點反應都沒有 = ="

AVK2006

[IMG]http://imagecloset.com/upload/db37d308.gif[/IMG]

請問norton 2003 是屬於哪一塊的??

這麼多有反應.... 無言了

因為我有用 kaspersky的線上掃描

那時 隱藏保護的作業系統檔案 並沒有取消,可能因此沒有掃描到

[QUOTE=herdint]請問norton 2003 是屬於哪一塊的??

這麼多有反應.... 無言了

因為我有用 kaspersky的線上掃描

那時 隱藏保護的作業系統檔案 並沒有取消,可能因此沒有掃描到[/QUOTE]
屬於Symantec(賽門鐵克)旗下

PC-cillin偵測為WORM_SDBOT.HO

Symantec
2006/9/27 rev.18已可掃到W32.Spybot.Worm並隔離成功

[QUOTE=D2K8X8]Symantec
2006/9/27 rev.18已可掃到W32.Spybot.Worm並隔離成功[/QUOTE]

終於 = ="
賽門終於找到了... 不過感覺這次慢半拍了...
害我以為是新病毒勒