瑞星卡卡安全论坛

"我爱RMB"是什么病毒~

进程里有一项  用进程查看的时候,,怀疑是病毒...

而且机器上有时候就会弹出一个框  上面是  "我爱RMB,,下面翻译过来是无效的图片"

有谁知道啊..谢谢大家了呢.

顶啊..不要沉了呢...大家说说看...有知道的说说看啊.

顶啊..不要沉了呢...大家说说看...有知道的说说看啊.
顶啊..不要沉了呢...大家说说看...有知道的说说看啊.
顶啊..不要沉了呢...大家说说看...有知道的说说看啊.
顶啊..不要沉了呢...大家说说看...有知道的说说看啊.
顶啊..不要沉了呢...大家说说看...有知道的说说看啊.
顶啊..不要沉了呢...大家说说看...有知道的说说看啊.

用hijackthis扫描后,把日志贴上来

进程名6  文件大小  类型  发行公司  描述


CCenter.exe  108k  应用程序  Beijing Rising Technology Co., Ltd.  瑞星杀毒软件的一部分..
Clsmn.exe  601k  应用程序    一款网吧管理软件客户..
csrss.exe  6k  系统程序  Microsoft Corporation  客户端服务子系统，用..
Explorer.exe  954k  系统程序  Microsoft Corporation  Windows Pr..
iexplore.exe  91k  应用程序  Microsoft Corporation  Microsoft ..
iexplore.exe  91k  应用程序  Microsoft Corporation  Microsoft ..
internat.exe  20k  系统程序  Microsoft Corporation  输入控制图标用于更改..
lsass.exe  13k  系统程序  Microsoft Corporation  本地安全权限服务控制..
nvsvc32.exe  128k  应用程序  NVIDIA Corporation  NVIDIA Dri..
RavTask.exe  112k  未知  Beijing Rising Technology Co., Ltd. 
RecSche.EXE  88k  未知   
rundll32.exe  32k  应用程序  Microsoft Corporation  Windows Ru..
Rundll32.exe  32k  应用程序  Microsoft Corporation  Windows Ru..
services.exe  105k  系统程序  Microsoft Corporation  用于管理Window..
smss.exe  49k  应用程序  Microsoft Corporation  进程为会话管理子系统..
svchost.exe  40k  病毒  我爱RMB  怀疑为恶意程序或病毒..
svchost.exe  14k  系统程序  Microsoft Corporation  Service Ho..
svchost.exe  14k  系统程序  Microsoft Corporation  Service Ho..
svchost.exe  14k  系统程序  Microsoft Corporation  Service Ho..
svchost.exe  14k  系统程序  Microsoft Corporation  Service Ho..
SysIdleProcess  0k  未知   
winlogon.exe  476k  系统程序  Microsoft Corporation  Windows NT..

HijackThis_815汉化版扫描日志 V1.99.1
保存于      8:02:01, 日期 2005-12-3
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
d:\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\Clsmn.exe
C:\WINDOWS\system32\rundll32.exe
D:\Rising\Rav\RavTask.exe
C:\Program Files\LifeView\LifeView TVR\RecSche.EXE
C:\WINDOWS\system32\internat.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\SYSTEM\svchost.exe
D:\Temp\Rar$EX00.797\HijackThis1991zww.exe

R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\SYSTEM\svchost.exe
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\3721\Assist\Angling.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\chat\QQ2005b2\QQIEHelper.dll (file missing)
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O3 - IE工具栏增项: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O4 - 启动项HKLM\\Run: [wxClient] C:\WINDOWS\system32\Clsmn.exe
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - 启动项HKLM\\Run: [RavTask] "d:\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\RunServices: [LvHidSvc] C:\WINDOWS\system32\lvhidsvc.exe
O4 - Startup: INTERNAT.lnk = C:\WINDOWS\system32\internat.exe
O4 - Startup: 升级勿动.rtf
O4 - Global Startup: TVR Schedule.lnk = ?SystemRoot%\Installer\{E4C3B10E-E277-4458-8440-DAE332D50BF3}\_4ae13d6c.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: !搜一搜 - res://C:\WINDOWS\downlo~1\CnsMinEx.dll/1003
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\chat\QQ2005b2\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\chat\QQ2005b2\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\chat\QQ2005b2\SendMMS.htm
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - D:\BitSpirit\bsurl.htm
O9 - 浏览器额外的按钮: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\netgame\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=?allyesPara=816 (file missing)
O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/?source=Cns (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\chat\QQ2005b2\QQ.EXE (file missing)
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\chat\QQ2005b2\QQ.EXE (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\chat\QQ2005b2\QQIEHelper.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\chat\QQ2005b2\QQIEHelper.dll (file missing)
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS]  上网助手-地址栏搜索
O16 - DPF: _{4AF6677A-373A-4BB9-BD9F-6196B6FC35B3} - http://bb.qq.com/media/QQTVOcxSetup.exe
O16 - DPF: {5DD731E6-D4F0-11D3-BE3F-00105A6FDA50} (V3ProX Control) - http://origin-www.ahn.com.cn/aspservice/plugin/myv3.cab
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB417480-F92D-473C-9D04-53BBEEA0B4E3}: NameServer = 219.150.32.132,219.146.0.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE2878F9-FA6A-48F8-B236-D05ED3611C41}: NameServer = 219.146.0.130,219.150.32.132
O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Rising\Rav\CCenter.exe

以下个人建议

建议用查看进程的工具辨认
结束这个路径C:\WINDOWS\SYSTEM\svchost.exe的svchost.exe进程,不要结束系统的哦

删除文件C:\WINDOWS\SYSTEM\svchost.exe

修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\currentVersion\Winlogon下的Shell=Explorer.exe C:\WINDOWS\SYSTEM\svchost.exe改成Shell=Explorer.exe


把这个删除的svchost.exe打包发到virusdied@yahoo.com.cn,如果在有问题会短消息告诉你

O4 - 启动项HKLM\\Run: [wxClient] C:\WINDOWS\system32\Clsmn.exe
O4 - 启动项HKLM\\RunServices: [LvHidSvc] C:\WINDOWS\system32\lvhidsvc.exe
问一下，是否知道这两个是什么程序？是和电视卡有关的吗？

我查出来了这个病毒了，，可是还是杀不净，
在我的c:\windows\system\里有三个文件都是病毒的文件。
svchost.exe
lsass.exe
SERVICES.exe
都删了，过会就又有了，，我现在做了几个空文件属性改成只读，svchost.exe 用的是SYSTEM32目录里的哪个文件。。
现在没事。只要一重启就又会出来。而且注册表里的所有关于这个目录的东西我都查过了。都删了。。可是还是不行。看任务管理器的时候。开始以为只有一个svchost.exe是病毒，没想到。还有一个svchost.exe也有问题。一个是2,820K。一个是4,210K的。。不知道我重启了还会有没有。。。我先重启先。

O4 - 启动项HKLM\\Run: [wxClient] C:\WINDOWS\system32\Clsmn.exe
O4 - 启动项HKLM\\RunServices: [LvHidSvc] C:\WINDOWS\system32\lvhidsvc.exe

一个是万象的客户端，一个是电视卡的。。。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"LangID"=hex:04,08
"@shell32.dll,-21779"="图片收藏"
"C:\\Program Files\\Microsoft Office\\OFFICE11\\OIS.EXE"="Microsoft Office Picture Manager"
"@shell32.dll,-21773"="游戏"
"@shell32.dll,-21787"="启动"
"@shell32.dll,-21761"="附件"
"C:\\Program Files\\Microsoft Office\\OFFICE11\\POWERPNT.EXE"="Microsoft Office PowerPoint"
"@shell32.dll,-21765"="Application Data"
"@C:\\WINDOWS\\system32\\SHELL32.dll,-9227"="我的文档"
"@shell32.dll,-21790"="我的音乐"
"@C:\\WINDOWS\\system32\\SHELL32.dll,-9216"="我的电脑"
"C:\\WINDOWS\\system32\\rcimlby.exe"="Microsoft Remote Assistance"
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"="Microsoft Help and Support Center"
"@C:\\WINDOWS\\system32\\rcbdyctl.dll,-152"="远程协助 "
"@shell32.dll,-30476"="显示管理工具"

"@shell32.dll,-21795"="%s 的视频"
"\\\\PC502\\system$\\system\\SVCHOST.EXE"="RMB万岁"
"C:\\WINDOWS\\SYSTEM\\svchost.exe"="RMB万岁"
"C:\\Program Files\\WinRAR\\WinRAR.exe"="WinRAR"
"C:\\WINDOWS\\system32\\arp.exe"="TCP/IP Arp Command"
"C:\\WINDOWS\\system32\\cmd.exe"="Windows Command Processor"
"C:\\WINDOWS\\system32\\ntsd.exe"="Symbolic Debugger for Windows 2000"
"\\\\PC202\\system$\\system\\SVCHOST.EXE"="RMB万岁"
"C:\\WINDOWS\\system32\\netstat.exe"="TCP/IP Netstat Command"
"C:\\Program Files\\LifeView\\LifeView TVR\\TVR.exe"="TVR"
"C:\\Program Files\\LifeView\\LifeView TVR\\video.ex_"="video"
"\\\\PC423\\system$\\system\\SVCHOST.EXE"="RMB万岁"
"\\\\PC337\\system$\\system\\SVCHOST.EXE"="RMB万岁"
"\\\\PC332\\system$\\system\\SVCHOST.EXE"="RMB万岁"
"\\\\PC431\\system$\\system\\SVCHOST.EXE"="RMB万岁"
"\\\\PC238\\system$\\system\\SVCHOST.EXE"="RMB万岁"
"\\\\PC8315\\system$\\system\\SVCHOST.EXE"="RMB万岁"
"\\\\PC233\\system$\\system\\SVCHOST.EXE"="RMB万岁"
"C:\\Documents and Settings\\Administrator\\桌面\\GhostSrv.exe"="Symantec GhostCast Server for Windows"
"@C:\\WINDOWS\\system32\\SHELL32.dll,-29188"="搜索计算机(&C)..."
"@netcfgx.dll,-50002"="允许您的计算机访问 Microsoft 网络上的资源。"
"@netcfgx.dll,-50003"="允许其它计算机用 Microsoft 网络访问您的计算机上的资源。"
"@netcfgx.dll,-50014"="使 Novell NetBIOS 数据包在运行 Novell NetBIOS 的 NetWare 服务器和 Windows 计算机之间，或两个 Windows 计算机之间得到传送。"
"@netcfgx.dll,-50013"="IPX 和 SPX 协议的实现，将用于 NetWare 网络。"
"@netcfgx.dll,-50001"="TCP/IP 是默认的广域网协议。它提供跨越多种互联网络的通讯。"
"C:\\WINDOWS\\system32\\shell32.dll"="Windows Shell Common Dll"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="RealPlayer"
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"="Windows Media Player"

好像是通过网络运行的。。。晕～

那个 病毒 我朋友也遇到过 当时瑞星还不能查出来呢
建议升级到最新版本  关闭所有的系统还原 进入安全模式
强行删除病毒文件  然后运行杀毒软件 全面杀毒

哦~~是吗？？我怎么没诶听过来~~好玩

引用:

【有人用了的贴子】我查出来了这个病毒了，，可是还是杀不净， 在我的c:\windows\system\里有三个文件都是病毒的文件。 svchost.exe lsass.exe SERVICES.exe 都删了，过会就又有了，，我现在做了几个空文件属性改成只读，svchost.exe 用的是SYSTEM32目录里的哪个文件。。 现在没事。只要一重启就又会出来。而且注册表里的所有关于这个目录的东西我都查过了。都删了。。可是还是不行。看任务管理器的时候。开始以为只有一个svchost.exe是病毒，没想到。还有一个svchost.exe也有问题。一个是2,820K。一个是4,210K的。。不知道我重启了还会有没有。。。我先重启先。 ...........................

请吧这些你认为可疑的文件打包发到virusdied@yahoo.com.cn，谢谢，礼拜五回家后给你结果

C:\WINNT\System32\svchost.exe

这个进程是病毒吗。我也有的呢。怎么办！！！！！

15楼的。没 事的。。system32里的是系统的..

我的是在system里的。。三个文件。而且通过网络传播的。
我都建立了三个假文件，属性只读，还是这样。。。

瑞星，我机器上装着2006的呢。。瑞星没有反应的。最新版的。。
最早的我在3721上提交过这个进程。。可是也没人回答我。