Rootkit。。。真的解决了吗!!!!未必
上个星期2中了这个该死的病毒,我用的是symantec企业版!病毒似乎只是针对xpsp1(估计就是Microsoft故意留了一手,让盗版升至sp2等待激活锁死)单位win2000只是报错,没有诺顿不停的报告病毒rdriv.sys现象(删除相关文件和注册表一切正常)且不影响系统操作(邪门),sp2现在情况稳定基本上没问题。(有一个中毒后升级至sp2,简直是运气,打开任务管理进程发现加载image.exe或者ftp.exe,删除相关后后sp2运行正常)
病毒现象
1.诺顿不停的报告病毒rdriv.sys 根本无法关闭。
2.进入局域网Lotus办公自动化系统启动word文档死机,只能强行关闭word文档,上网正常,QQ也正常,就是处理文档不行
3.在正常模式下打不开xp任务管理器。
4.操作系统为xpsp1目录下c:\windwos生成好几个setup*.exe及相关垃圾附件,
5.在c:\windows\system32\目录下生成rdriv.sys,c:\windows目录下生成image.exe extel.exe,后来用icesword查找到utr*.exe及utr*.dll,病毒会变种??这个病毒真是厉害后面又出现了HPBPRO.exe估计每个人都不一样。
6.上网的情况下阻止sp1升级为sp2,升级中途死机或者不动弹。
7.xp自带防火墙被禁用,而且再也不能启用。
8.有时候会在c:\windows\system32\wins目录下生成一个文件
修改方法大家说很多,关键是大家操作系统不一样,而且这个病毒生成的相关文件大家也会不一致,高就在这里
我的经历:调出了相关程序,什么安全模式、DLLCOMPARE、icesword、killbox工具都应用了。运行一天正常,处理了无数个办公文档也没发现不正常现象,偷偷乐着以为搞定了。开机至天亮,发现又感染以上病毒特征。。。。帮同事处理过的机子三天后。。。郁闷
后来我隔壁的同事断网的情况下又重新装了xpsp1,但只要联入局域网办公自动化,打开word文档,以上病毒现象在重启几次后逐步、逐步的一个一个出现,不是很集中的一次全部出现,看来真是阴险啊。
用过瑞星、卡巴、甚至防火墙都没用。看看身边几个没中毒的机子,基本都是2000、sp2操作系统、而sp1的几乎全军覆灭,看来sp1真是垃圾。后来在单位服务器上点击xp2升级包结果升级半途死机,几台升级的机子都是如此,只好copy下来格了断网升级。
所以说大家别以为病毒处理干净了,那是你没有和局域网比如lotus办公自动化系统连接或者是单机,因为这个病毒只要还在单位网络服务器上,可以再次攻击客户端电脑。还是希望大家尽早做好系统升级准备。Microsoft霸道啊
