回复:Rootkit.Win32.Undef.fs解疑!
瑞星报:Rootkit.Win32.Undef.fs
症状:XP登陆界面,输入登陆密码后,随即注销关机。
重启后F8键进入安全模式,经查,发现开机登陆项中的c:\windows\explorer.exe变成了C:\windows\system32\explorer.exe。
卡卡发现有4个与explorer.exe有关的木马,但是它删不掉。
解决方法:在安全模式中CTRL+ALT+DEL进入任务管理器,关闭进程中的explorer.exe进程,然后进“应用程序”--〉新任务:浏览——〉删除C:\windows\explorer.exe,还有若干无意义的4个字母组成的exe文件(通常只有一个),如果不放心,把C:\windows\system32\explorer.exe也删了(但是一般来讲那个是好的),C盘根目录下还有一个忘记名字的bat或者cfg文件,打开看一下,如果里面有dat14之类的文件,删掉。
ok,删光了,然后到dllcash或者找一个别的干净机器,把里面的explorer.exe文件拷贝过来。
成功。实际操作3台机器,全部搞定。
但是,到目前为止,我没发现如何感染这木马的?传播途径不清楚。发病机器确实都上网,瑞星杀毒防火都是正版最新(杀不出来),没有访问任何不良网站,没用过u盘(有台是我自己的),补丁是最新的(sp3+后继全部),我黔驴技穷哦,郁闷!高手指点下。
