瑞星卡卡安全论坛

瑞星计算机监控提示:发现病毒Backdoor.PcClient.du
病毒路径:C:/program Files/xckcvzlk dl1
病毒处理:杀毒失败

电脑表现:1、开机后,有些服务被停用,如:音频的部分功能,
        2、一动键盘的任意一个键子，这个病毒就会出现。
奇怪的是，病毒路径所显示的所谓xckcvzlk dl1文件，在我的计算机上根本就不存在。

我按照本论坛教的方法，下载了几个软件，试着用了用，什么也看不明白。
请各位高手不吝赐教。

Logfile of HijackThis v1.99.1
Scan saved at 17:52:12, on 2005-11-9
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\sina\UC\uc.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\a\LOCALS~1\Temp\Rar$EX23.8900\HijackThis.exe

O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [MS-4011 Memory Patch] C:\Documents and Settings\a\桌面\RavSasser.exe -Patch
O4 - HKLM\..\Run: [NMGameX_AutoRun] C:\WINDOWS\System32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [YDTMain.exe] C:\PROGRA~1\YDT\YDTMain.exe
O4 - HKLM\..\Run: [POPO2004] C:\Program Files\Netease\popo2004\Start.exe
O4 - HKLM\..\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\..\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: E话通.lnk = C:\Program Files\EPH\eph.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O4 - Startup: ET 4.2.lnk = ?APPDATA%\Microsoft\Installer\{540F8C95-2C51-4188-A4C7-DFDFBFB0F802}\eph.exe1_540F8C952C514188A4C7DFDFBFB0F802_2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: !搜一搜 - res://C:\WINDOWS\downlo~1\CnsMinEx.dll/1003
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: (no name) - {2253922F-1B26-4C74-8B57-E3AEE748DBB8} - (no file)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS]  上网助手-地址栏搜索
O16 - DPF: {448A5F6B-8C03-4B54-A338-F00237C508AD} (WEBChatRoomOCX Control) - http://chat.51uc.com/cab/WEBChatRoom_1_38.cab
O16 - DPF: {88734439-46D0-42C0-A13F-7E881EE550CF} (Filetran Control) - http://pimg.163.com/club/vchat/filetran.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{625595B0-E441-435D-89A9-A0B79D1305CF}: NameServer = 202.97.224.69 202.97.227.138
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

这是日记扫描。各位高手，要想找到病毒所在，并杀掉它，是不是需要这个，还需要别的东西吗？
    在此谢谢各位高手费心了。

高手们,请进啊,这厢有礼了.

还有一个现象:计算机会突然黑屏,然后,自动启动.
是不是也是同一个病毒惹的呀?还是另有病毒呢?

不知道..
先帮你顶了..

【回复“希望快乐”的帖子】
谢谢支持！！！

【回复“电脑盲痛恨病毒”的帖子】
掉下去了,还没来个高手.自己顶一下.

我的机器也是这样的．我也想知道啊．急死我了

【回复“无名的”的帖子】
同病相怜啊,帮忙顶啊,别让这帖子掉下去呀.
顶~~~~~~~~~

为什么没人关啊．有好心人帮帮忙啊．不然的话我只好从新装系统了

17.52.01 版可以杀.

建议先检查是否有新的系统补丁需要打
                 
                  断网,

                  清空IE临时文件夹,

                  禁用系统还原,(Me,XP)

                  用最新版本瑞星杀毒.必要时在安全模式或DOS下全面查杀.

还是不行啊．友人帮忙吗

好

我也来顶一下

还是不行啊．友人帮忙吗

【回复“无名的”的帖子】
是不行啊.我帖上的那个什么日记,看不出什么问题吗?
真的没什么办法能治得了这个病毒吗?这病毒真的就这么厉害?
真的只能是重新装系统?

真的只能是重新装系统?

真的只能是重新装系统?

垃圾软件装了不少

【回复“Brutish”的帖子】
看来你是个高手.别只看笑话呀,重点是看看有没有病毒.
不过,看了你的回复,倒提醒我,不管有没有病毒,是不是我都应该重装系统呀?否则我什么都不敢删,很怕删错了东西,造成计算机失灵.
电脑盲嘛,没办法啦.
谢谢提醒啊.

进安全模式杀毒

C:\WINDOWS\soundman.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
终止soundman.exe进程，删除文件soundman.exe，修复这两项试试。
清空IE临时文件夹，关闭系统还原。到安全模式下查杀。

【回复“神无”的帖子】
不好意思,我没有找到soundman.exe文件,用killbox也显示,没有这个文件.
是我太笨吧,什么都找不到.

O4 - Startup: ET 4.2.lnk = ?APPDATA%\Microsoft\Installer\{540F8C95-2C51-4188-A4C7-DFDFBFB0F802}\eph.exe1_540F8C952C514188A4C7DFDFBFB0F802_2.exeO23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

引用:

【电脑盲痛恨病毒的贴子】【回复“神无”的帖子】 不好意思,我没有找到soundman.exe文件,用killbox也显示,没有这个文件. 是我太笨吧,什么都找不到. ...........................

附件: 5220982005119235602.bmp

对不起，搞错了，soundman.exe这个是Realtek声卡控制程序。该进程在系统托盘驻留，用于进行快速访问和诊断。正常程序。

垃圾，一大堆！

pweot 先生:你除了看到垃圾,看到病毒没有啊.求你了,看重点好不好??

O4 - Startup: ET 4.2.lnk = ?APPDATA%\Microsoft\Installer\{540F8C95-2C51-4188-A4C7-DFDFBFB0F802}\eph.exe1_540F8C952C514188A4C7DFDFBFB0F802_2.exe
这个E话通的运行项有点奇怪~~~
你先卸了E话通，，打足系统补丁，
打开 我的电脑》工具》文件夹选项》查看》显示所有文件，显示系统文件》确定
查找这个文件删除
C:/program Files/xckcvzlk dl1

再杀次毒看看~~

O4 - HKLM\..\Run: [NMGameX_AutoRun] C:\WINDOWS\System32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
个人感觉这两项有点问题，04那不知道是什么东西，023的adobe好像没有这个服务，我装的adobe就没这服务，不知道别人的是怎么样的

Adobelmsvc.exe用这个文件名查了下，，，应该 是正常的服务项~~

谢谢各位的支持与帮助.
怎么弄我也弄不好,只好找人重装机器了.
以后要多来这里学学摆弄电脑了.