瑞星卡卡安全论坛

菜鸟第一次访问kaka

今天日常上机，习惯，因为装杀毒的慢（特别是RISING，正版更慢），看一下进程，发现多了个lsass.exe进程就觉得不对劲，立刻msconfig发现自启动项有C:\windows\lsass.exe 那种事情是不可能的正常应该在C:\windows\syste32\lsass.exe 下，于是我用进程管理器KILL，诶？KILL不了？妈的，用icesword破坏掉他进程，把这个文件copy出来后删除，为了确认是什么毒，偶用记事本打开，在某行发现如下的东西 


                                                                                                                                        5@ p@ ?@  @           

  \  "  rfwmain Software\Microsoft\Windows\CurrentVersion\Run  Syetwlynus  %d%d%d  /  http:// Content-Type: application/x-www-form-urlencoded POST    HTTP/1.0    MSDN SurfBear  欧服    eu. 美服    us. 台服    tw.logon    六区(北京)  6  五区(上海)  5  四区(广东)  4  三区(四川)  3  二区(北京)  2  一区(上海)  1  cn  zmideda{|&|n  InstallPath SOFTWARE\Blizzard Entertainment\World of Warcraft  li`}i&i{x  &j}iafa&kge  RegisterServiceProcess  KERNEL32.DLL    emerqb_e_eva_lh %s%s%s%s%s%s    name=  &url=  &intro= GxWindowClassD3d    kav32.exe  kvsrvui.exe symantec.exe    kvxp.kxp    pwf.exe system.exe  iparmor.exe kvmonxp.kxp kavsvc.exe  kav.exe rfwsrv.exe  rfwmain.exe ravtimer.exe    ravstub.exe adam.exe    ravmond.exe ravmon.exe  %s  励叵凉径厘傣   


根据特征字符InstallPath SOFTWARE\Blizzard Entertainment\World of Warcraft
  欧服    eu. 美服    us. 台服    tw.logon    六区(北京)  6  五区(上海)  5  四区(广东)  4  三区(四川)  3  二区(北京)  2  一区(上海)

判断该文件为 魔兽世界木马，偶不玩，没事~哈哈~
发给大家玩玩。
奶的。不给传附件，，，，算你狠
http://www.9iz.cn/lsass.rar这里下载

晕死这木马病毒 一点加密水准都没有啊

楼上的说的应该是加壳吧。。。。加壳了这些应该还是存在的。。

是吧

不过看了 一下这病毒还是蛮好杀的

........

C:\windows\lsass.exe

恶心...

魔兽病毒..."高手""高手"啊....

........

我是菜鸟..
你也知道的...别欺负我..

呵呵,我是新手......

mopery准备要给你发了

祝你解决......嘻嘻

问下自称高手的人,彩信通的问题请你帮我解决:

http://forum.ikaka.com/topic.asp?board=28&artid=8131991&page=4  52回复......

CIH 病毒怎么解决......

引用:

【mopery的贴子】C:\windows\lsass.exe 恶心... 魔兽病毒..."高手""高手"啊.... ...........................

您是什么意思？
那个文件...
正常的不是在Windows system32下吗？
那个就是不正常的
好像您是说有什么不对阿

C:\windows\lsass.exe=魔兽世界木马?
C:\windows\lsass.exe解决方法=直接删病毒文件?

哇.这楼主牛人呀.....

佩服.....

【回复“Latyas”的帖子】
这只马——烂！
相当的烂！！
如果楼主想玩儿只像样的马儿，请留下邮箱。

瑞星能杀的

我有一只小木马我从来也不骑,有一天我心血来潮骑它去赶集......

引用:

【baohe的贴子】【回复“Latyas”的帖子】 这只马——烂！ 相当的烂！！ 如果楼主想玩儿只像样的马儿，请留下邮箱。 ...........................

nnylyj@gmail.com

猫叔 往里送..威金 P2P蠕虫就不用了...

引用:

【mopery的贴子】 nnylyj@gmail.com 猫叔 往里送..威金 P2P蠕虫就不用了... ...........................

木马样本已经发送到nnylyj@gmail.com

引用:

【baohe的贴子】 木马样本已经发送到nnylyj@gmail.com ...........................

偷偷告诉下 发了什么好玩意过去?

引用:

【mopery的贴子】 偷偷告诉下 发了什么好玩意过去? ...........................

自己玩儿玩儿。
搞不掂的话，再给你“解药”。

...发人家又不发我这...

嘿嘿..所以你得跟LZ说...

人家可学了几年的网络安全哦...

猫叔 丢点极品过去..威金我都丢给他了..估计他这会 正在忙...

引用:

【mopery的贴子】...发人家又不发我这... 嘿嘿..所以你得跟LZ说... 人家可学了几年的网络安全哦... 猫叔 丢点极品过去..威金我都丢给他了..估计他这会 正在忙... ...........................

不能欺负人啊。
玩儿病毒——也要讲“德”。

引用:

【baohe的贴子】 不能欺负人啊。 玩儿病毒——也要讲“德”。 ...........................

知道也..下次给他丢点平常的..不过这次把手头的极品都丢过去..


我怕他...

引用:

【mopery的贴子】...发人家又不发我这... 嘿嘿..所以你得跟LZ说... 人家可学了几年的网络安全哦... 猫叔 丢点极品过去..威金我都丢给他了..估计他这会 正在忙... ...........................

高手高手

引用:

【mopery的贴子】 知道也..下次给他丢点平常的..不过这次把手头的极品都丢过去.. 我怕他... ...........................

你把围巾给他了？
大热天的——再围上条“围巾”？！
冒汗吧！！！

引用:

【baohe的贴子】 你把围巾给他了？ 大热天的——再围上条“围巾”？！ 冒汗吧！！！ ...........................

猫叔也水了,继海色之后又一灌水斑竹.....

他说没有他不能解决的病毒..

我想"垃圾"玩意..可能不适合他...

所以丢得有点"极品"..

默哀....

引用:

【mopery的贴子】他说没有他不能解决的病毒.. 我想"垃圾"玩意..可能不适合他... 所以丢得有点"极品".. 默哀.... ...........................

算你狠！！

引用:

【刀刀笨贼的贴子】 猫叔也水了,继海色之后又一灌水斑竹..... ...........................

放松点...

偶尔水水很正常...

引用:

【mopery的贴子】他说没有他不能解决的病毒.. 我想"垃圾"玩意..可能不适合他... 所以丢得有点"极品".. 默哀.... ...........................

你又不把我丢给他..