瑞星卡卡安全论坛

上个星期2中了这个该死的病毒，我用的是symantec企业版！病毒似乎只是针对xpsp1（估计就是Microsoft故意留了一手，让盗版升至sp2等待激活锁死）单位win2000只是报错，没有诺顿不停的报告病毒rdriv.sys现象（删除相关文件和注册表一切正常）且不影响系统操作（邪门），sp2现在情况稳定基本上没问题。（有一个中毒后升级至sp2，简直是运气，打开任务管理进程发现加载image.exe或者ftp.exe，删除相关后后sp2运行正常）

病毒现象
1.诺顿不停的报告病毒rdriv.sys 根本无法关闭。
2.进入局域网Lotus办公自动化系统启动word文档死机，只能强行关闭word文档，上网正常，QQ也正常，就是处理文档不行
3.在正常模式下打不开xp任务管理器。
4.操作系统为xpsp1目录下c:\windwos生成好几个setup*.exe及相关垃圾附件，
5.在c:\windows\system32\目录下生成rdriv.sys，c:\windows目录下生成image.exe extel.exe，后来用icesword查找到utr*.exe及utr*.dll，病毒会变种？？这个病毒真是厉害后面又出现了HPBPRO.exe估计每个人都不一样。
6.上网的情况下阻止sp1升级为sp2，升级中途死机或者不动弹。
7.xp自带防火墙被禁用，而且再也不能启用。
8.有时候会在c:\windows\system32\wins目录下生成一个文件

修改方法大家说很多，关键是大家操作系统不一样，而且这个病毒生成的相关文件大家也会不一致，高就在这里

我的经历：调出了相关程序，什么安全模式、DLLCOMPARE、icesword、killbox工具都应用了。运行一天正常，处理了无数个办公文档也没发现不正常现象，偷偷乐着以为搞定了。开机至天亮，发现又感染以上病毒特征。。。。帮同事处理过的机子三天后。。。郁闷
后来我隔壁的同事断网的情况下又重新装了xpsp1，但只要联入局域网办公自动化，打开word文档，以上病毒现象在重启几次后逐步、逐步的一个一个出现，不是很集中的一次全部出现，看来真是阴险啊。
用过瑞星、卡巴、甚至防火墙都没用。看看身边几个没中毒的机子，基本都是2000、sp2操作系统、而sp1的几乎全军覆灭，看来sp1真是垃圾。后来在单位服务器上点击xp2升级包结果升级半途死机，几台升级的机子都是如此，只好copy下来格了断网升级。
所以说大家别以为病毒处理干净了，那是你没有和局域网比如lotus办公自动化系统连接或者是单机，因为这个病毒只要还在单位网络服务器上，可以再次攻击客户端电脑。还是希望大家尽早做好系统升级准备。Microsoft霸道啊

引用:

【奎斗的贴子】 所以说大家别以为病毒处理干净了，那是你没有和局域网比如lotus办公自动化系统连接或者是单机，因为这个病毒只要还在单位网络服务器上，可以再次攻击客户端电脑。还是希望大家尽早做好系统升级准备。Microsoft霸道啊 ...........................

等于反复感染.

【回复“奎斗”的帖子】
这与SP1或SP2无关。
我的系统是XPSP2。用rootkit样本感染系统——成功。

大哥。。我没说不染sp2。。。我处理过了sp2相对比sp1好些，关键做了那么多步骤有用吗。。。最后的结果。。。郁闷

引用:

【奎斗的贴子】大哥。。我没说不染sp2。。。我处理过了sp2相对比sp1好些，关键做了那么多步骤有用吗。。。最后的结果。。。郁闷 ...........................

我的实验结果告诉我——有用。查杀前，TPF和卡巴斯基均提示：有程序试图访问网络；查杀后——没了。
另外：我手头的这个样本，卡巴斯基已经能够查杀。我手动查杀后，再开启卡巴斯基查毒——不再报毒。

引用:

【baohe的贴子】 我的实验结果告诉我——有用。查杀前，TPF和卡巴斯基均提示：有程序试图访问网络；查杀后——没了。 另外：我手头的这个样本，卡巴斯基已经能够查杀。我手动查杀后，再开启卡巴斯基查毒——不再报毒。 ...........................

那你说怎么办，一定要装咔吧吗，老牛总不能乱拉车，
不知道为什么我同事用的win2000，诺顿企业版提示提示中毒了，但他那操作都很正常，邪门。。。。一个多礼拜了啊
顺便帮我看看那些病毒特征，大概是否还有别的病毒感染。

【回复“奎斗”的帖子】这不奇怪。rootkit不是一个特定的病毒，而是一个“类”称。就像“大米”这个概念，它包括：粳米/糯米/香米...。另外，rootkit多不是单独感染系统，它是其它病毒的隐身服。西装，知道吧？谁都可以穿啊。你总不能说西装就许张三穿；李四就不能穿。没这道理呀！
好了。算笔账吧：N种rootkit和M种病毒/木马的组合数是多少？

唉！！如此。。。反正郁闷了。。。杀完没好一个礼拜。。。继续感染！！！

引用:

【奎斗的贴子】上个星期2中了这个该死的病毒，我用的是symantec企业版！病毒似乎只是针对xpsp1（估计就是Microsoft故意留了一手，让盗版升至sp2等待激活锁死）单位win2000只是报错，没有诺顿不停的报告病毒rdriv.sys现象且不影响系统操作（邪门），sp2现在情况稳定基本上没问题。（有一个中毒后升级至sp2，简直是运气，打开任务管理进程发现加载image.exe或者ftp.exe，删除相关后后sp2运行正常） 病毒现象 1.诺顿不停的报告病毒rdriv.sys 根本无法关闭。 2.进入局域网Lotus办公自动化系统启动word文档死机，只能强行关闭word文档，上网正常，QQ也正常，就是处理文档不行 3.在正常模式下打不开xp任务管理器。 4.操作系统为xpsp1目录下c:\windwos生成好几个setup*.exe及相关垃圾附件， 5.在c:\windows\system32\目录下生成rdriv.sys，c:\windows目录下生成image.exe extel.exe，后来用icesword查找到utr*.exe及utr*.dll，病毒会变种？？这个病毒真是厉害后面又出现了HPBPRO.exe估计每个人都不一样。 6.上网的情况下阻止sp1升级为sp2，升级中途死机或者不动弹。 7.xp自带防火墙被禁用，而且再也不能启用。 8.有时候会在c:\windows\system32\wins目录下生成一个文件 修改方法大家说很多，关键是大家操作系统不一样，而且这个病毒生成的相关文件大家也会不一致，高就在这里 我的经历：调出了相关程序，什么安全模式、DLLCOMPARE、icesword、killbox工具都应用了。运行一天正常，处理了无数个办公文档也没发现不正常现象，偷偷乐着以为搞定了。开机至天亮，发现又感染以上病毒特征。。。。帮同事处理过的机子三天后。。。郁闷 后来我隔壁的同事断网的情况下又重新装了xpsp1，但只要联入局域网办公自动化，打开word文档，以上病毒现象在重启几次后逐步、逐步的一个一个出现，不是很集中的一次全部出现，看来真是阴险啊。 用过瑞星、卡巴、甚至防火墙都没用。看看身边几个没中毒的机子，基本都是2000、sp2操作系统、而sp1的几乎全军覆灭，看来sp1真是垃圾。后来在单位服务器上点击xp2升级包结果升级半途死机，几台升级的机子都是如此，只好copy下来格了断网升级。 所以说大家别以为病毒处理干净了，那是你没有和局域网比如lotus办公自动化系统连接或者是单机，因为这个病毒只要还在单位网络服务器上，可以再次攻击客户端电脑。还是希望大家尽早做好系统升级准备。Microsoft霸道啊 ...........................

1.使用IceSword查看进程,看看是否有image.exe或者ftp.exe存在,有的话,大概中了此招.

2.清除方法：
1、打开注册表编辑器或者直接使用IceSword附带的注册表编辑工具，展开并找到这两个键然后将它们删除：
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\image]  or
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ftp.exe]
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]
2、重新启动计算机，然后找到并删除以下文件：
  %Windir%\image.exe    or    %Windir%\ftp.exe
  %Windir%\System32\rdriv.sys


关于rootkit影响虽不大,但是清除比较困难.不结束进程的话很难把rdriv.sys关闭.

请楼主清除后完善系统.以免反复感染.

以上方法出自JayFaye,在此表示感谢.

【回复“花落花又开”的帖子】
win2000、sp2感染处理基本正常，只有sp1！！！而且处理过该病毒的人都知道加入进程的文件基本会不一致。用IceSword调出的基本都不同，有的是IMAGE、EXTEL、FTP，甚至是UTR****.EXE等等。上个礼拜处理的好的机子，正常运行了5天，今天又中招了。郁闷

我想知道大家的操作系统。如果是xpsp1的是不是都是以上现象，请大家观察。

引用:

【奎斗的贴子】，正常运行了5天，今天又中招了。郁闷 ...........................

野火烧不尽，春风吹又生。根本原因：系统缺少补丁，或其它防范措施不到位。这样杀下去，是杀不完的！

【回复“奎斗”的帖子】

看来楼主还是没理解完善系统是什么意思.

其实XP1 XP2 2000都可以感染的,我的XPSP2也感染成功.

哎！难道真的只能重装系统？我的中了之后不能使用网络打印机和不能使用网络共享资源

引用:

【花落花又开的贴子】【回复“奎斗”的帖子】 看来楼主还是没理解完善系统是什么意思. 其实XP1 XP2 2000都可以感染的,我的XPSP2也感染成功. ...........................

呵呵，，win2000sp4、 sp2 都中过招了（想说明下sp2中毒现象，进入办公系统都正常，上网也正常，但过5分钟左右就打不开网页，局域网络服务器也找不到），但系统操作都很正常，修改后基本没问题（估计还会中毒），sp1改来改去有的没1天就中招，中毒现象很严重，被迫全部升级SP2。在家上网打死我的电脑也中不到那该死的病毒，至今我办公室的机子故意留着sp1，现象依旧！完善系统。。。怎么完善！

局域网络中存在着数据包的交换,补丁或防护措施不完整的话很容易反复感染.
说在家上网一定不会中rootkit,这话未免有点绝对.用SP1与SP2反复中招的时间差来说明哪个系统好,这有点主观.

如果楼主不懂如何完善系统的话请看小白的置顶贴.

跟系统无关吧，我两台win2000服务器都是把所有补丁打齐了，照样中毒

引用:

【网络断魂的贴子】跟系统无关吧，我两台win2000服务器都是把所有补丁打齐了，照样中毒 ...........................

呵呵，，在单位win2000sp4、 sp2 都中过招了（想说明下sp2中毒现象，进入办公系统都正常，上网也正常，但过5分钟左右就打不开网页，局域网络服务器也找不到），但系统操作都很正常，修改后基本没问题（估计还会中毒），sp1改来改去有的没1天就中招，中毒现象很严重，现象基本都是以上特征，被迫全部升级SP2。在家上网打死我的电脑也中不到那该死的病毒，至今我办公室的机子故意留着sp1，现象依旧！等待完善“系统”了