瑞星卡卡安全论坛

最近朋友电脑出了点问题，用瑞星杀毒吓了一跳，竟然有480个病毒。
现在还有点问题。扫了个日志。请高手帮忙下。其中rsvpsp.dll怎么也删不掉。
2006-05-27,14:26:01

System Repair Engineer 2.0.12.350 (2.0 RC 1)
    Windows XP Professional Service Pack 2 - 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <ctfmon.exe><; C:\WINDOWS\system32\ctfmon.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <LocalSystem><; C:\WINDOWS\system\svchost.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <load><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <SoundMan><; SOUNDMAN.EXE>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <IMSCMig><; C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <PowerDVD><; C:\Program Files\CyberLink\PowerDVD\PowerDVD.exe /autostart>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <MSConfig><C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <Userinit><C:\WINDOWS\system32\userinit.exe,>

==================================
启动文件夹
[腾讯QQ]
  <C:\Documents and Settings\余震杰用户\「开始」菜单\程序\启动\腾讯QQ.lnk><N>

==================================
服务
[.Net Boot Service / .Net Boot Service]
  <C:\WINDOWS\system32\big5_gb2312.exe><N/A>
[Adobe LM Service / Adobe LM Service]
  <"C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"><Adobe Systems>
[Intranet Messenger / BUZOR]
  <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
[DNS Server Process Launcher / DnsLanuch Network]
  <C:\WINDOWS\svchost.exe><N/A>
[windows / windows]
  <C:\WINDOWS\rundll.exe><N/A>

==================================
浏览器加载项
[MonitorURL Class]
  {08A312BB-5409-49FC-9347-54BB7D069AC6} <C:\PROGRA~1\DESKAD~1\deskipn.dll, N/A>
[Zhongsou Browser Helper]
  {2A0176FE-008B-4706-90F5-BBA532A49731} <, N/A>
[NetAccelerate Class]
  {5673A7C0-95CC-4646-BB07-3BD71234CEF9} <C:\WINDOWS\system32\MicrosoftNet.dll, TODO: <公司名>>
[系统标准按钮(&E)]
  {6B2455FD-3669-4555-8DF8-69FD5BC846F8} <C:\WINDOWS\system32\SystemToolbar.dll, N/A>
[MonitorURL Class]
  {08A312BB-5409-49FC-9347-54BB7D069AC6} <C:\PROGRA~1\DESKAD~1\deskipn.dll, N/A>
[Zhongsou Browser Helper]
  {2A0176FE-008B-4706-90F5-BBA532A49731} <, N/A>
[NetAccelerate Class]
  {5673A7C0-95CC-4646-BB07-3BD71234CEF9} <C:\WINDOWS\system32\MicrosoftNet.dll, TODO: <公司名>>
[系统标准按钮(&E)]
  {6B2455FD-3669-4555-8DF8-69FD5BC846F8} <C:\WINDOWS\system32\SystemToolbar.dll, N/A>
[>>彩信发送<<]
  <res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm, N/A>
[添加到QQ自定义面板]
  <D:\轩辕2\AddPanel.htm, N/A>
[添加到QQ表情]
  <D:\轩辕2\AddEmotion.htm, N/A>
[用炫彩图铃发送该图片]
  <C:\Program Files\CaiShow Tech\CaiShow\SendMMS.htm, N/A>

==================================
正在运行的进程
[PID: 468][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 524][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 548][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 592][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 604][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [c:\windows\rsvpsp.dll]  <N/A><N/A>
[PID: 748][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 792][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 824][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [c:\windows\rsvpsp.dll]  <N/A><N/A>
    [c:\windows\system32\ypwsdcsp.d1l]  <N/A><N/A>
[PID: 876][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 960][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1188][C:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\CNMLM2H.DLL]  <CANON INC.><1.50.2.6>
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\CNMPD2H.DLL]  <CANON INC.><1.50.2.6>
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\vprproc.dll]  <Windows (R) 2000 DDK provider><5.00.2195.1620>
[PID: 1292][C:\WINDOWS\SYSTEM32\RUNDLL32.EXE]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1452][C:\WINDOWS\system\svchost.exe]  <N/A><N/A>
[PID: 1484][C:\WINDOWS\system32\wdfmgr.exe]  <Microsoft Corporation><5.2.3790.1230 built by: DNSRV(bld4act)>
[PID: 1696][C:\WINDOWS\System32\alg.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 204][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\Downlo~1\xmr.dll]  <Beijing Zhongsou Online Software><2, 0, 0, 6>
    [C:\WINDOWS\system32\mp3infp.dll]  <win32lab.com><2.44.3.0>
    [C:\WINDOWS\system32\MicrosoftNet.dll]  <TODO: <公司名>><1.0.0.1>
    [C:\Program Files\Tencent\qq\qdshm.dll]  <><1, 0, 1, 2>
    [C:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
[PID: 1832][C:\WINDOWS\system32\wuauclt.exe]  <Microsoft Corporation><5.8.0.2469 built by: lab01_n(wmbla)>
[PID: 1880][C:\WINDOWS\system32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 568][C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1680][E:\sreng2\SREng.exe]  <Smallfrogs Studio><2.0.12.350>
    [c:\windows\rsvpsp.dll]  <N/A><N/A>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
MSAFD Tcpip [TCP/IP]
    c:\windows\rsvpsp.dll(N/A, N/A)
MSAFD Tcpip [UDP/IP]
    c:\windows\rsvpsp.dll(N/A, N/A)
MSAFD Tcpip [RAW/IP]
    c:\windows\rsvpsp.dll(N/A, N/A)
RSVP UDP Service Provider
    c:\windows\rsvpsp.dll(N/A, N/A)
RSVP TCP Service Provider
    c:\windows\rsvpsp.dll(N/A, N/A)

==================================

[DNS Server Process Launcher / DnsLanuch Network]
<C:\WINDOWS\svchost.exe><N/A>
[windows / windows]
<C:\WINDOWS\rundll.exe><N/A>
[.Net Boot Service / .Net Boot Service]
<C:\WINDOWS\system32\big5_gb2312.exe><N/A>
三只鸽子..
安全模式..打开注册表编辑器，展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
搜索DnsLanuch Network    windows    .Net Boot Service
删除这三个项..
删除
C:\WINDOWS\svchost.exe
C:\WINDOWS\rundll.exe
C:\WINDOWS\system32\big5_gb2312.exe

[c:\windows\rsvpsp.dll] <N/A><N/A>
可能需要借助SSM来删除..

能扫个HijackThis的日志么..
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
一楼附件...

【回复“mopery”的帖子】
谢了，问题基本解决了，只是不知道[c:\windows\rsvpsp.dll] <N/A><N/A>
怎么回事，大家有没有碰到这个情况。
自己看过hijackthis的日志发现不了什么情况。所以发了这个日志。

你扫hijackthis
我看看
c:\windows\rsvpsp.dll
需要借助SSM

呵呵
不好意思，现在不在朋友那里。下次再贴

c:\windows\rsvpsp.dll这一项在HJ里应该是010项。
是否病毒最好开会讨论一下。

如果HJ  010 有的话 修复是否不会出现?
System Repair Engineer
看 c:\windows\rsvpsp.dll  修改了好多地方..

引用:

【我无邪的贴子】c:\windows\rsvpsp.dll这一项在HJ里应该是010项。 是否病毒最好开会讨论一下。 ...........................

我有同感。
这个是否病毒真需要考虑，最好查查这个文件的属性。
就算要处理估计也不用非要SSM，用Lspfix就行了（切记不可直接删除此文件或直接用HijackThis修复，那样可能会导致不能上网）。

另外之前的修复，漏了一部分：

结束进程C:\WINDOWS\system\svchost.exe

用SREng在“启动项目”-“注册表”中删除此项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<LocalSystem><; C:\WINDOWS\system\svchost.exe>

在“启动项目”-“服务”中禁用此项：
[Intranet Messenger / BUZOR]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>

在注册表展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除BUZOR项目

重启后删除：
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL

还有浏览器加载项里项目虽然少，但几乎尽是些没用的东西：
用SREng在“系统修复”-“浏览器加载项”中删除以下项目：
[MonitorURL Class]
{08A312BB-5409-49FC-9347-54BB7D069AC6} <C:\PROGRA~1\DESKAD~1\deskipn.dll, N/A>
[Zhongsou Browser Helper]
{2A0176FE-008B-4706-90F5-BBA532A49731} <, N/A>
[NetAccelerate Class]
{5673A7C0-95CC-4646-BB07-3BD71234CEF9} <C:\WINDOWS\system32\MicrosoftNet.dll, TODO: <公司名>>
[系统标准按钮(&E)]
{6B2455FD-3669-4555-8DF8-69FD5BC846F8} <C:\WINDOWS\system32\SystemToolbar.dll, N/A>
[MonitorURL Class]
{08A312BB-5409-49FC-9347-54BB7D069AC6} <C:\PROGRA~1\DESKAD~1\deskipn.dll, N/A>
[Zhongsou Browser Helper]
{2A0176FE-008B-4706-90F5-BBA532A49731} <, N/A>
[NetAccelerate Class]
{5673A7C0-95CC-4646-BB07-3BD71234CEF9} <C:\WINDOWS\system32\MicrosoftNet.dll, TODO: <公司名>>
[系统标准按钮(&E)]
{6B2455FD-3669-4555-8DF8-69FD5BC846F8} <C:\WINDOWS\system32\SystemToolbar.dll, N/A>
[>>彩信发送<<]
<res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm, N/A>
[用炫彩图铃发送该图片]
<C:\Program Files\CaiShow Tech\CaiShow\SendMMS.htm, N/A>

卸载（如果还有的话）：
C:\PROGRA~1\MMSASS~1\
C:\Program Files\CaiShow Tech\
C:\PROGRA~1\DESKAD~1\

重启后删除：
C:\PROGRA~1\MMSASS~1\
C:\Program Files\CaiShow Tech\
C:\PROGRA~1\DESKAD~1\
C:\WINDOWS\system32\MicrosoftNet.dll
C:\WINDOWS\system32\SystemToolbar.dll
C:\WINDOWS\Downlo~1\xmr.dll（看它后面的信息：<Beijing Zhongsou Online Software><2, 0, 0, 6>，又是中搜公司搞出来的玩意）