瑞星卡卡安全论坛

大家请注意！！！  一下是中了该病毒后，QQ会出现的症状是附带一下三种信息给你的好友。



【第一条】

在QQ聊天窗口。按住 alt 键 然后 依次输入 29482 然后松开 alt 你会看到你的名字 不信就试一下


好玩的话复制给好友
更多精彩http://fox.qbbsq.com


【第二条】


爱心船:每收到一份爱心 请转发给朋友一份爱心
http://%35%32%30%2e%71%62%62%73%71%2e%63%6f%6d/__________________◢█◣◢█◣___________________________________██████___________________________boy_____◥████◤____gril__________________|_____|____◥██◤_____|_____|_____________________________◥◤_________________________________________happy_____________________

在上面的 boy gril 输入 名字 将得到永恒's love


【第三条】

超级男生迅速火爆
http://chaonan.qbbsq.com/2005/10/20/chaonan.htm

该病毒很烦人，我想应该是新的病毒吧，目前瑞星最新版本都杀不掉！ 让人真郁闷！希望在下次版本中能干掉这一病毒！
版本：17.49.22          05年10月19日

超级男生迅速火爆
http://chaonan.qbbsq.com/2005/10/20/chaonan.htm
更多精彩http://fox.qbbsq.com

病毒名称                                                发现日期        扫描方式        路径            文件            病毒来源       
Hack.LaSta.b                                            05-10-19 21:47  实时监控        C:\DOCUME~1\wxw44\LOCALS~1\Temp\IXP000.TMP001.EXE\本机
Hack.LaSta.b                                            05-10-19 22:57  实时监控        C:\DOCUME~1\wxw44\LOCALS~1\Temp\IXP000.TMP001.EXE\本机




那是删除失败的记录。

删除Temp下的所有文件，然后再杀毒，，，
瑞星在17.44的版本里好像就能杀这个毒了~~~~~~

唉，试过了，都不行！ 查了，杀了。结果QQ聊天还是有！真是烦死了这个病毒！！！！ 


这种病毒那么纠缠不清！它的网站早晚登上世界排名1000内的！

那就卸载QQ，然后连QQ的整个文件夹都删了~~~
再清空临时文件夹，关闭系统还原，删除TEMP文件夹下的所有内容，（显示所有文件后再删）
然后进入安全模式，再行杀毒~~~~~~~
然后你再到QQ官网重新下个软件（不要是最新版的~）
这样再看看还不行吗~~~~~
呵呵，，，

还不行你就扫个日志上来看看吧~~

好的，我试试看！

今早一开机发现这个网站侵占了主页：http://www.qiooo.com/

也是和病毒一起附带进来的。

到注册表里搜索www.qiooo.com 
把有关它的值（不是整个项，是在该项上击右键，》修改》把这个网址的这个字符串删除~~）
这好像是个音乐网站吧~你常上吗？，以后别再上这个网站了，（估计又是为了骗取点击率的~）
把主页改回来，在IE里把主页设为空白。或你自定的主页。
然后再扫个日志来帮你看看，能不能找出点什么~~~~

病毒名称                                                处理结果        扫描方式        路径            文件            病毒来源       
Exploit.VBS.Phel                                        删除成功        手动扫描        C:\Documents and Settings\wxw44\Local Settings\Temporary Internet Files\Content.IE5\U51KG6O1tzd[1].js\本机
Exploit.VBS.Phel.l                                      删除成功        手动扫描        C:\Documents and Settings\wxw44\Local Settings\Temporary Internet Files\Content.IE5\URIXALMFsi[1].htm\本机
Hack.LaSta.b                                            删除成功        手动扫描        C:\Documents and Settings\wxw44\Local Settings\Temporary Internet Files\Content.IE5\DT06MQJN95272[1].exe>>001.EXE\本机
Trojan.DL.MiniQrz                                      删除成功        实时监控        C:\Documents and Settings\wxw44\Local Settings\Temporary Internet Files\Content.IE5\DT06MQJNok[1].exe>>VEUnpackFile\本机

瑞星都已经删除病毒成功了！卸载QQ，删除了QQ整个文件夹再清空临时文件夹，关闭系统还原，删除TEMP文件夹下的所有内容。
再用瑞星注册表修复扫描然后修复！现在主页没问题了，但一重启又变成该网址了！ 打开QQ窗口的时候还是会弹出网址发给我的好友。

我真服了这个病毒了！我已经绝望到要重装XP系统了！

清空临时文件夹后再来杀毒看看~~~~
清空临时文件夹的方法：
IE》属性》删除文件（包括脱机文件）》确定

用HijackThis扫个日志上来看看，，，
估计需要你手工清理~~~~~
HijackThis的下载地址
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

请问大家有没有  瑞星杀毒的求助电话，我真想打去问问咨询咨询该怎么解决。    要我病毒上报等待回复的时间实在太久了，所以想尽快解决这个病毒！

希望得到大家的帮助。

中了哪个病毒杀毒软件都不能完全启作用。

Logfile of HijackThis v1.99.1
Scan saved at 13:09:30, on 2005-10-20
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
D:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\Program Files\Ringz Studio\Storm Downloader\StormDownloader.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\csrss.exe
D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
D:\Program Files\Ringz Studio\Storm Downloader\TDUpdate.exe
C:\WINDOWS\System32\sdpasvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Documents and Settings\wxw44\桌面\248783200522382732\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v4.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Infofo 工具栏 - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - C:\Program Files\Infofo Bar\infofobar.dll
O2 - BHO: update wnwb - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbkey.dll
O2 - BHO: YiSou - {EF1D17A9-089F-40cc-8D64-7324CDEBA0DB} - C:\PROGRA~1\YiSou\yisoub.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Infofo 工具栏 - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - C:\Program Files\Infofo Bar\infofobar.dll
O3 - Toolbar: 一搜工具条 - {115F6E46-FCBC-41ed-B3B5-3BDDD4AAB5E5} - C:\Program Files\YiSou\yisou.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [EPSON ME 1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3W1.EXE /P10 "EPSON ME 1" /O6 "USB001" /M "ME 1"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [StormCodec_Helper] "d:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [MINI_BFYY] D:\Program Files\Ringz Studio\Storm Downloader\StormDownloader.exe
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [csrss] C:\WINDOWS\csrss.exe
O4 - HKLM\..\RunServices: [csrss] C:\WINDOWS\csrss.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [csrss] C:\WINDOWS\csrss.exe
O4 - HKCU\..\RunServices: [csrss] C:\WINDOWS\csrss.exe
O4 - Startup: Stardock ObjectDock.lnk = D:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: !搜一搜(&S) - res://C:\Program Files\YiSou\yisou.dll/232
O8 - Extra context menu item: &使用暴风下载器下载 - D:\Program Files\Ringz Studio\Storm Downloader\geturl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\qq\AddToNetDisk.htm
O8 - Extra context menu item: 使用网际快车下载 - D:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\qq\SendMMS.htm
O9 - Extra button: Infofo 工具栏 - {8507326C-B5C1-4559-BB91-0919E753836F} - C:\Program Files\Infofo Bar\infofobar.dll
O9 - Extra 'Tools' menuitem: Infofo 工具栏 - {8507326C-B5C1-4559-BB91-0919E753836F} - C:\Program Files\Infofo Bar\infofobar.dll
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: 易趣购物 - {DE607142-AC19-422e-864A-4D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {DE607142-AC19-422e-864A-4D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {2761225D-F0F2-44E8-A2C9-476FB6A3316A} (TRadio Control) - http://dl_dir.qq.com/qqtools/trsetup.exe
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://www.ppstream.com/bin/powerplayer.cab
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CB27E98-D2E2-4BB2-8B81-664C5BEBF0B0}: NameServer = 202.103.224.68,202.103.225.68
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\COMMON~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: WB - d:\Program Files\AlienGUIse\fastload.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: SDPAUMS server service (SDPASVC) -  Matsushita Electric Industrial Co.,Ltd. - C:\WINDOWS\System32\sdpasvc.exe

我觉得你可以用别的杀毒软件再杀一次，比如卡巴斯基、趋势等等比较高性能的杀毒软件，不过之前你可以先删除原来的瑞星。

杀毒软件永远比病毒慢一步，没得话说

现在病毒攻克专家好像不多，在国内可能只有几万人吧
每天出来的新病毒这么多，真的难为他们了

搞定了！！！！不过有点遗憾的是“不是用瑞星杀毒解决的问题！”

用的是卡巴！

附件: 34599920051020182107.jpg

修复好了就算了，，，
下面几项是有问题的运行项~~~~~

O4 - HKLM\..\Run: [csrss] C:\WINDOWS\csrss.exe
O4 - HKLM\..\RunServices: [csrss] C:\WINDOWS\csrss.exe
O4 - HKCU\..\Run: [csrss] C:\WINDOWS\csrss.exe
O4 - HKCU\..\RunServices: [csrss] C:\WINDOWS\csrss.exe

?????

他们是怎么做病毒的啊！～还有怎么做游戏外挂的啊！～