我好像是中毒了 lsas.exe ,快帮帮我!(52分)

  • 主题发起人 主题发起人 gentlesoft
  • 开始时间 开始时间
G

gentlesoft

Unregistered / Unconfirmed
GUEST, unregistred user!
今天发现启动注册表项中多了两个 lsas.exe ,启动 filemon 发现有几个应用程序(包括 explorer.exe) 一直在扫描硬盘上的文件。
并且网络一直在往外发资料。
前几天也中过类似的病毒,但重新安装系统后又出现了。
winxp 系统,已经安装了 Norton Internet Security 和 Norton Antivirus 最新版,但
是从没有有报警有病毒。
我现在不知道该怎么办了,请各位帮忙!
(就在我打这些字的时候,还在往外发东东,快救我!没分了)
 
安装“天网防火墙”试试?
 
哇,有人在挖金矿啊??????????
断掉网线,打上补丁,删除所有可疑程序(看更新的日期).
 
安个RAV看看,好像是有毒
也打个补丁试试
 
过了半个小时再开机又不再发东西了。看来这个病毒还是不定时的发作。
前几天查到一个可疑的 EXE 文件,分析其中的字符串,发现是一个已知的木马病毒。
但是好像是被人修改过的,因为用诺顿和瑞星正式企业版也查不到有该病毒。
不过这个病毒的机制是控制 explorer.exe。所以用天网和 Norton 的效果是一样的。
唉,刚安装完的系统又出现病毒,真是搞不懂啊。
 
升级病毒库
 
麻子兄,Norton 一直是在线升级的,RAV 企业版也是在线升级的,都查不到病毒啊。
现在我发现在访问某些网站时,Norton 会提示
入侵:URL_Directory_Traversal
入侵者:localhost(3018)
好像是说,我的机器会自动攻击被浏览的网站,刚才查了也没有中 震荡波。
.....
 
防火墙也拦截不了吗?
 
NIS 拦截不到,看到瑞星网站的一篇报告是说如果病毒控制 explorer.exe/IE 访问网络,大部分防火墙不会拦截。
现在又用了一会儿电脑,居然又不发作了。不过访问下面网站中的例子,又会出现上面说到的入侵警告,你也试试:
网站地址是:
http://www.bindows.net
这个例子中,点击第一项之外的其他例子,再点击 Open:
http://www.bindows.net/bindows/samples/applauncher/
就会出现警告。
 
你给的两个网址都没问题。
但重新安装系统后又出现了。
原因在那呢?
1:你的机器中毒,感染了exe文件,或者木马程序和exe,com文件产生了关联,启动任何一个可执行程序都会启动病毒或者木马程序。
2:你最好的方法还是重装系统,这样才能查杀干净。你重新装了系统后,一定切记,千万不要打开任何盘符,除了系统盘上刚安装的文件外,不要点任何可执行文件。
接下来,找个正版的kv2004,或者D版的KV2004(不过没用过),安装后,启动它的自动升级功能,再取得了最新的病毒库后,杀,杀。。。。杀。。。还是杀。。。。。。
好了,你的机器恢复正常了。
我前几天才感染了超级密码007病毒,特征为:感染所有的可执行文件,并把可执行文件的大小该为125K,自启动N个线程,杀不尽,你杀了这个,过一会又启动,头都大了。最后的解决办法就是我给你提的这些。
 
今天终于解决了,被 Norton 认出lsas.exe是个 Skybot.Worm 病毒。
反正现在一上网,没几分钟 NIS 就提示有入侵威胁,过一会儿 NAV 又提示在 WINDOWS 目录下发现一个什么新病毒,真是好玩啊。实在是没工夫管这些怪东东了。
多谢上面各位的提示。
 
您必须登录或注册才可回复。

Similar threads

奇淫怪巧之在Delphi中调用不申明函数 - 不得闲
回复
0
查看
876
不得闲
Delphi中设置条件断点 - 不得闲
回复
0
查看
804
不得闲
D
[原]WAMP中修改PHP.ini
回复
0
查看
867
DelphiTeacher的专栏
D
D
[原]WAMP中修改PHP.ini
回复
0
查看
836
DelphiTeacher的专栏
D
D
[原]WAMP中修改PHP.ini
回复
0
查看
785
DelphiTeacher的专栏
D
后退
顶部