今日下午单位局域网突然失控，宽带路由器WAN灯常亮，起先判断是某些用户下载

但接着瑞星报有漏洞攻击，RPC漏洞，查找源头，发现一台WINXP机器中了冲击波，命令其关闭后，许多台装了WIN2000 SP4的电脑也开始向外发送RPC攻击

前往检查后发现 进程中均有 sndriv32.exe 有时此程序占用CPU资源达20% - 30%

直接结束任务不成

重启后，进程中暂时不出现 sndriv32.exe

趁机全盘搜索 sndriv32.exe 发现
c:\winnt\sndriv32.exe
c:\winnt\system32\sndriv32.exe
e:\sndriv32.exe

而且最后一个必定是E盘，因为中病毒电脑硬盘分区均为 C D E F G 盘

随即将这三个文件删除

再启动 regedit

发现
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
下均有一随机名称项
内有几条，其中一条是 \\192.168.0.11\e$\sndriv32.exe
\\192.168.0.1 是本身这台电脑的IP地址

另外，有的电脑上还会在 CURRENT_USER 里存在2项，与以上类似
还有的电脑会在RUN启动项里存在启动 sndriv32.exe

将注册表清理后，重启。暂时消除病毒

但因为中此病毒电脑过多，只能留待第二天继续手动检查

不知此是不是病毒？如果是，是什么病毒？望高手解答

据观察，瑞星杀毒软件网络版 17.57.12 查不出此文件有病毒

请瑞星有关人员观注一下，谢谢。


另有10%左右电脑中同时存在 atkkbservice.ex 进程

不能直接结束，不知为何？

【回复“Lindbergh704”的帖子】
用WINRAR 将sndriv32.exe打包，发到：baohelin@yahoo.com.cn。帮你看看。

多谢

我去其他电脑上采个样本,谢谢