rootkit.vanti.gen病毒?【求助】
瑞星病毒查杀c:\winnt\temp\ahb.dll,说染了rootkit.vanti.gen病毒-‘重启计算机后删除'。重启,DOS下查到确删了,可启动后,在未登陆时就已查到这个’染毒文件‘。使用卡卡安全助手进程管理查看,发现系统刚刚登陆时进程csrss.exe和services含有模块\temp\ahb.dll,系统完全加载后,除了上述两个进程外,包括rovmon.exe、rfwmain.exe、explorer.exe、rovmond.exe总共六个进程含有ahb.dll模块。此时如果加载了瑞星杀毒监控,则无法顺利打开瑞星个人防火墙主程序(rfwsrv.exe进程占用九成以上cpu资源)。怀疑c:\winnt\system32\hkdoordll.dll文件也可疑,但services启动需要,贸然删除后系统会无法启动的。
\temp目录下还有JETA908.tmp这样的若干文件。烦人的很,谁有办法,指导指导。
之前经历大致记录:
win2000机器4月初被人瞎了,后来查到,当天下午一点多开始:c:\winnt\多了一个crazy.exe文件(瑞星18.21.31版已能删除查杀病毒:Backdoor.Bifrose.acc),c:\winnt\system32\出现从125.93.181.26端口7801用户口令均为9527通过ftp拷入的cz、r.exe、st.exe(RAdmin2.0),cz文件内容为[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\cz$] @=hex(1f4):,增加了一个本地服务remote administrator server并于当晚0点启动过,administrator管理员口令被改了,每次启动机器多了很多类似\system21\Perflib_Perfdata_29c.dat的文件以及文件CleanTrack.ini,\winnt目录下多了wet文件夹内有svchost.exe、raddrv.dll、AdmDll.dll、s.vbs以及RAdmin v2.0的两个注册文件1.reg和2.reg...◎有点类似灰鸽子吧.
