瑞星只报C:\WINDOWS\system32\Rpcsm.dll为后门。
C:\WINDOWS\system32\Rpcsm.exe，瑞星不报！
C:\Program Files\Common Files\System\svchost.exe瑞星也不报

感染这么多文件，难道不是蠕虫？

这个病毒有隐藏进程

中毒后的SRENG日志也比较特殊——————日志中系统核心进程全都不见了！

服务

[Remote Procedure Call System(RPCSm) / RpcSm][Running/Auto Start]
  <C:\windows\system32\Rpcsm.exe><Microsoft Corporation>

==================================
正在运行的进程
[PID: 1856][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\Program Files\Internet Download Manager\IDMIECC.dll]  [Internet Download Manager Corp., Tonec Inc., 1, 0, 2, 1]
    [C:\Program Files\Internet Download Manager\idmmkb.dll]  [N/A, ]
    [C:\WINDOWS\system32\shadow\pDeskTop.dll]  [N/A, ]
    [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
    [C:\Program Files\TuneUp Utilities 2007\SDShelEx-win32.dll]  [TuneUp Software GmbH, 2.0.0.2]
    [C:\windows\system32\RavExt.dll]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 9]
    [C:\Program Files\Rising\Rav\RSCOMMON.DLL]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 5]
    [C:\Program Files\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll]  [Adobe Systems Inc., 1.0.0.2003040700]
[PID: 992][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
[PID: 1724][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\Program Files\Tiny Firewall Pro\amonres.dll]  [Computer Associates International, Inc., 6.5.1.2]
    [C:\Program Files\Tiny Firewall Pro\FncIDs.dll]  [Computer Associates International, Inc., 6.0.0.1]
    [C:\Program Files\Tiny Firewall Pro\portnums.dll]  [Computer Associates International, Inc., 6.0.0.1]
[PID: 1880][C:\Program Files\Tiny Firewall Pro\cfgtool.exe]  [Computer Associates International, Inc., 6.0.0.52]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\Program Files\Tiny Firewall Pro\cfgtoolres.dll]  [Computer Associates International, Inc., 6.0.0.28]
    [C:\Program Files\Common Files\PFShared\Nag.dll]  [Tiny Software, Inc., 6.0.1.22]
    [C:\Program Files\Common Files\PFShared\cfgwi.dll]  [Computer Associates International, Inc., 6.0.0.127]
    [C:\Program Files\Common Files\PFShared\Cfgwires.dll]  [Computer Associates International, Inc., 6.0.0.27]
    [C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\PDM.DLL]  [Microsoft Corporation, 7.00.9466]
    [C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\2052\mdmui.dll]  [Microsoft Corporation, 7.00.9466]
    [C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MSDBG2.DLL]  [Microsoft Corporation, 7.00.9466]
    [C:\Program Files\Common Files\Microsoft Shared\INK\PENCHS.DLL]  [Microsoft Corporation, 1.0.1038.0]
    [C:\Program Files\Common Files\PFShared\IfaceCtrl.dll]  [Computer Associates International, Inc., 6.5.3.3]
    [C:\windows\system32\msxml4.dll]  [Microsoft Corporation, 4.20.9818.0]
    [C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL]  [Microsoft Corporation, 11.0.5510]
[PID: 4016][C:\Program Files\Common Files\System\svchost.exe]  [N/A, ]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
[PID: 3508][C:\Program Files\Tiny Firewall Pro\tralogan.exe]  [Computer Associates International, Inc., 6.0.0.17]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\msxml4.dll]  [Microsoft Corporation, 4.20.9818.0]
    [C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL]  [Microsoft Corporation, 11.0.5510]
[PID: 3016][C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rar$EX04.344\SREng.EXE]  [Smallfrogs Studio, 2.4.12.806]
    [C:\windows\system32\UmxSbxExw.dll]  [Computer Associates International, Inc., 6.0.1.58]
    [C:\windows\system32\UmxSbxw.dll]  [Computer Associates International, Inc., 6.0.1.58]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
API HOOK
入口点错误：EnumServicesStatusA (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：EnumServicesStatusExA (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：ChangeServiceConfigA (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：ChangeServiceConfig2A (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：EnumServicesStatusW (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：EnumServicesStatusExW (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：ChangeServiceConfigW (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：ChangeServiceConfig2W (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：ControlService (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：CreateServiceA (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：CreateServiceW (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：DeleteService (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：EnumDependentServicesA (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：QueryServiceConfigA (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：QueryServiceConfig2A (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：QueryServiceStatus (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：QueryServiceStatusEx (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：EnumDependentServicesW (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：QueryServiceConfigW (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：QueryServiceConfig2W (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：LoadLibraryExW (危险等级: 一般,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：TerminateProcess (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：TerminateThread (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：CreateProcessA (危险等级: 一般,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：CreateProcessW (危险等级: 一般,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：CreateRemoteThread (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：ExitProcess (危险等级: 一般,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：FreeLibrary (危险等级: 一般,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：WriteProcessMemory (危险等级: 一般,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：GetProcAddress (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)
入口点错误：OpenThread (危险等级: 高,  被下面模块所HOOK: C:\windows\system32\UmxSbxw.dll)

==================================
隐藏进程
    [3028] C:\Program Files\Internet Explorer\IEXPLORE.EXE

==================================

注册表改动——————N处

哎呀，刚刚在潜水中，一不小心看到猫叔的新贴子啦，这个高兴呀。虽然没看明白。

呵呵！

你别插哦！！！

我等猫猫说呢。

不知怎不说了呢？

【回复“天月来了”的帖子】
还说啥呢？
C:\WINDOWS\system32\Rpcsm.exe，
C:\Program Files\Common Files\System\svchost.exe
这两个好说，手工也能杀掉。
关键是那些被感染的程序。中了这个，只能靠杀软或专杀清除那些被病毒感染的文件。用户总不能把那些文件都扔掉吧？
我是在影子中用Tiny监控运行这个样本的。一个Track'nReverse，搞掂！

发个专杀来!!!  55555  我的情况一样地  我一直都没发现
  谢谢老!!!

引用:

【zk7451227的贴子】  发个专杀来!!!  55555  我的情况一样地  我一直都没发现   谢谢老!!! ………………

抱歉！
俺没有专杀。
俺是在影子系统中玩儿的。重启，就没事了。