W32.Toxbot杀毒记

frankzhou

为将自己的动网论坛数据库升级到SQL版，昨晚就装了下SQL SERVER 2000。装完后也没有怎么管。

今天晚上在用SQL server时才注意到SQL Server默认开了个1433端口以供外部连接。考虑到

论坛就在本地，就将网络连接给去掉了。后来一想微软的东西这么长时间了肯定会有些什么

漏洞之类的了，不要我开了这么点时间就给我招来什么病毒啊。

察看了下天网防火墙，发现有不停地试图连接本机的1433端口的连接。看来有点问题，说不

定昨晚就进来什么木马了。再察看下系统的网络连接情况，果然发现有个lsasrv.exe隔一会就往外发送数据，端口为6556，非常可疑。将网络断开，lsasrv.exe开始换着6个ip试图往外发数据。
确定有病毒或木马无疑。

重启系统进入安全模式，启动norton查毒，结果没找到。直接搜索也没有找到lsasrv.exe，将系统隐藏文件全显示，在c:\winnt\system32\目录下找到lsasrv.exe文件，奶奶的，竟然还将病毒文件设为系统隐藏。

但查毒还是没有毒，奇了怪了，难道是个较新的病毒，我的病毒库是7月8日的啊。重启进入系统，上网下了最新病毒库，再查，查到了是W32.Toxbot病毒。进入安全模式杀毒，但norton杀不掉，也隔离不了，文件也删除不了。

看来lsasrv.exe在安全模式也已经自动运行起来了。没办法，只好进入系统管理，一个一个找已经启动的系统服务里有哪个启动了lsasrv.exe，找到对应的系统服务后，将服务停止。再杀，终于可以隔离了。删除病毒文件，再进入注册表，将所有与lsasrv.exe的键值删掉。

重启，总于干净了。

白开水

不错！谢谢兄弟共享．可以让许多新人借鉴一下，谢谢！

白开水

好文章，不知道是不是原创，但觉得对于菜鸟来说是非常实用的，加精！：）

frankzhou

是原创，这就是俺昨晚做的事，搞到12左右

鱿鱼

8错8错，辛苦了。

我以前在一个朋友的机子上，遇到的一个W32病毒更厉害，在进程管理器里，一停止病毒进程，立马就自动重启，诺顿对它没办法，想在DOS下杀毒，他的又是NTF文件系统，杀毒盘在dos下没法认NTF文件（现在有可以支持NTF文件系统的DOS杀毒盘了），最后只有格式化重装了事。

电脑菜鸟

系统管理在哪里？

光辉晨星

系统配置实用程序：

开始－运行－ｍｓｃｏｎｆｉｇ

我也阳

厉害,又学会了一招.[em03]

怎么样"察看下系统的网络连接情况啊"

frankzhou

在桌面的我的电脑，右键选"管理"，即可进入管理界面，在此可对系统的大部分资源进行管理，选"服务和应用程序"，再选"服务"，就可看到系统启动的服务。

看系统的网络连接，可以通过很多的工具软件来进行，如sniffer等，当然，最简单的方便的，可以察看防火墙软件中，如天网防火墙，可以直接察看所有软件使用网络的情况，也可以察看被防火墙拦截下来的信息日志，还可以自己设置防火墙的规则。