菜鸟第一次访问kaka

今天日常上机，习惯，因为装杀毒的慢（特别是RISING，正版更慢），看一下进程，发现多了个lsass.exe进程就觉得不对劲，立刻msconfig发现自启动项有C:\windows\lsass.exe 那种事情是不可能的正常应该在C:\windows\syste32\lsass.exe 下，于是我用进程管理器KILL，诶？KILL不了？妈的，用icesword破坏掉他进程，把这个文件copy出来后删除，为了确认是什么毒，偶用记事本打开，在某行发现如下的东西 


                                                                                                                                        5@ p@ ?@  @           

  \  "  rfwmain Software\Microsoft\Windows\CurrentVersion\Run  Syetwlynus  %d%d%d  /  http:// Content-Type: application/x-www-form-urlencoded POST    HTTP/1.0    MSDN SurfBear  欧服    eu. 美服    us. 台服    tw.logon    六区(北京)  6  五区(上海)  5  四区(广东)  4  三区(四川)  3  二区(北京)  2  一区(上海)  1  cn  zmideda{|&|n  InstallPath SOFTWARE\Blizzard Entertainment\World of Warcraft  li`}i&i{x  &j}iafa&kge  RegisterServiceProcess  KERNEL32.DLL    emerqb_e_eva_lh %s%s%s%s%s%s    name=  &url=  &intro= GxWindowClassD3d    kav32.exe  kvsrvui.exe symantec.exe    kvxp.kxp    pwf.exe system.exe  iparmor.exe kvmonxp.kxp kavsvc.exe  kav.exe rfwsrv.exe  rfwmain.exe ravtimer.exe    ravstub.exe adam.exe    ravmond.exe ravmon.exe  %s  励叵凉径厘傣   


根据特征字符InstallPath SOFTWARE\Blizzard Entertainment\World of Warcraft
  欧服    eu. 美服    us. 台服    tw.logon    六区(北京)  6  五区(上海)  5  四区(广东)  4  三区(四川)  3  二区(北京)  2  一区(上海)

判断该文件为 魔兽世界木马，偶不玩，没事~哈哈~
发给大家玩玩。
奶的。不给传附件，，，，算你狠
http://www.9iz.cn/lsass.rar这里下载

晕死这木马病毒 一点加密水准都没有啊

楼上的说的应该是加壳吧。。。。加壳了这些应该还是存在的。。

是吧

不过看了 一下这病毒还是蛮好杀的

........

C:\windows\lsass.exe

恶心...

魔兽病毒..."高手""高手"啊....

........

我是菜鸟..
你也知道的...别欺负我..

呵呵,我是新手......

mopery准备要给你发了

祝你解决......嘻嘻

问下自称高手的人,彩信通的问题请你帮我解决:

http://forum.ikaka.com/topic.asp?board=28&artid=8131991&page=4  52回复......

CIH 病毒怎么解决......