微点交流论坛

标题: 怀疑发现了薪金流入国内的病毒，瑞星等无反应 [打印本页]

作者: super_1969 时间: 2007-12-21 09:24 标题: 怀疑发现了薪金流入国内的病毒，瑞星等无反应

昨日发现一台机器上有LSASS和SMSS两个用户进程，自动运行且无法终止进程，即时关闭瑞星、360安全卫士、冰刃等几乎所有已知能够查杀病毒、木马的工具软件，瑞星等国产杀软无警报，诺顿、卡巴、NOD等可查出该病毒。将c:\windows\system32下的LSASS和SMSS改名后会自动生成同名文件，但此后被禁止杀软可正常运行，但国产杀软无法查获病毒。请问提取的病毒文件发到哪里？微点本身貌似没有上报功能啊

作者: Jaons 时间: 2007-12-21 09:44
有自动上报功能啊~~

打开微点主界面，安全防护与策略->程序行为实时监控策略，这里，对截获的未知病毒样本。。你可以选择自动传送。。

作者: super_1969 时间: 2007-12-21 10:00
那病毒太恶心了，我没敢在自己机器上试

作者: 消磨时光 时间: 2007-12-21 10:33
如果是国外的新病毒估计是没有收到病毒库！或是升级到最新可以查杀吧！

作者: Legend 时间: 2007-12-21 11:42
请楼主将这两个程序，连同技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）发送到virus@micropoint.com.cn 邮箱我们将做进一步的测试分析,请附上本贴链接，以便我们进行深入测试，跟踪解决您的问题。

楼主发送完后，请将您的邮箱地址通过论坛短消息发给我，也请附带此贴链接

作者: tzlqjyx 时间: 2007-12-21 11:53
我前天也中了类似的病毒，微点无反应（希望微点以后能查杀此类病毒），感染了电脑里很多的exe文件，连rar里的可执行都会感染重新打包。因为不知道那些施感染文件，一旦点击又会二次感染，最后只好全盘格掉

作者: Linwin 时间: 2007-12-21 14:35
rar...我为了感染，都用rar打包了软件安装包，下次用iso打包算了...

作者: johnchu 时间: 2007-12-21 15:40
我也有那两个进程啊，好像本来就有的啊用的是GHOST XP

作者: johnchu 时间: 2007-12-21 15:41
我开着dr.web怎么没发现是病毒啊

作者: zfr911 时间: 2007-12-21 16:14
那两个好像是系统进程哦```

作者: a87750530 时间: 2007-12-21 16:21
我也有啊！！！我见到很多计算机都有啊！！

作者: tzlqjyx 时间: 2007-12-21 17:53

Quote:

Originally posted by Linwin at 2007-12-21 14:35:
rar...我为了感染，都用rar打包了软件安装包，下次用iso打包算了...

呵呵，这位朋友说的是啊，我以前也以为rar比较安全，以后直接用iso或gho备份算了

作者: npxywml 时间: 2007-12-21 18:43
这两个文件是系统进程。

作者: tustin 时间: 2007-12-21 20:56
这病毒很是强悍，绝对不亚于什么AV之类，我有两个同学中了这个，用尽办法都搞不定，最后只有全格了，中了这个病毒后微点也在他们的机子上装不起，会被关掉

作者: ztly159 时间: 2007-12-21 21:08
貌似是系统进程！我电脑里也有啊

作者: lf_hb 时间: 2007-12-21 22:19
我的安装软件全是用RAR打的包，不会吧！？要注意了～～～～～～

作者: tustin 时间: 2007-12-21 23:33
这两具进程不是系统进程，是病毒创建的，在进程的用户名里面显示的是用户名而不是system

作者: coolliuxingyu 时间: 2007-12-22 08:40
LSASS和SMSS进程是病毒。晕................

作者: tustin 时间: 2007-12-22 12:50

Quote:

Originally posted by coolliuxingyu at 2007-12-22 08:40:
LSASS和SMSS进程是病毒。晕................

任务管理器不只是拿来让你随便看看的，以后注意一下你会发现他有很多东西你是不知道的

作者: zqrsc 时间: 2007-12-22 14:47
支持楼上的论述对于进程不是只看名字和路径。也要注意启动该进程的用户。
请楼主提交该两个样本文件。

作者: qq2008444 时间: 2007-12-22 15:06
用ICESWORD看看进程目录
确认一下签名是不是(C) Microsoft Corporation. All rights reserved.
可以基本判断
当然这些信息可以仿照
您可以试试与正常的文件进行对比
lsass:C:\windows\system32\
占用空间16.0 KB (16,384 字节)
大小：13.0 KB (13,312 字节)
smss:C:\windows\system32
占用空间：52.0 KB (53,248 字节)
大小：49.5 KB (50,688 字节)

C:\windows请替换为您系统的安装路径

[ Last edited by qq2008444 on 2007-12-22 at 16:45 ]

作者: tustin 时间: 2007-12-22 16:40

Quote:

Originally posted by zqrsc at 2007-12-22 14:47:
支持楼上的论述对于进程不是只看名字和路径。也要注意启动该进程的用户。
请楼主提交该两个样本文件。

懂行的人说话就是不一样

作者: Legend 时间: 2007-12-24 16:56
楼主您好，我们没有收到您的邮件，请您重新发送一下，谢谢

作者: Legend 时间: 2007-12-27 18:11
由于没有收到楼主进一步的反馈信息，本主题暂作关闭处理，如有问题，请另开新帖讨论

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn