Trojan.DL.Agent.hms
Trojan.PSW.Lineage.gen
Trojan.PL.Direct.dlïS´ÜÑT€öbbs.ikaka.comšy-šgz~§

版主你说的好像变量麻烦哟! 我就是遇到了这样一个问题,本来准备上报的,现在不用了,已升级到了最新版.不知道接下来会怎么样!具体情形是这样的:

今天不知道怎么的出现了这样一个严重问题,以前从没出现过,描述如下:
我访问了一个网页,具体地址记不清了,(好像当时是这个,请大家注意点,具体中毒网页好像是这个，可是现在访问不了了:
http://www.tianjindaily.com.cn/epaper/tjrb/tjrb/2006-10/05/content_31221.htm)当时RAV提示有病毒,我也让正常程序做了,没有点同意,当时好像在C:\Documents and Settings\**你的用户名**\Local Settings\Temp\(也不知道是不是IE的临时文件夹)里面出现了一个使用设备的网页临时文件,也不知道是使用什么设备,因为使用没有成功.并没有在意.后来过了一会,系统提示要删除Ravmain在注册表里的健值,我也没有同意,心想我的经控中心和防火墙可是一直开着的啊!),后来就看了一下在快速启动栏里的经控中心和防火墙,还在呢,可是怎么也点不来主程序,提示有错误,找不到RAV.exe,找不到rsguilib.dll.
    我就知道我的机器中了毒,不过还能够凑合用,上网什么的,,我发现在我的系统服务中多了两个服务(一个叫BOBA820B,一个叫Gray_Pigeon_Server1.23)一个是不知道的,一个为灰鸽子的远程控制端吧,第一反应就是被人入侵,我日,家里的电脑也入侵?有本事去入侵大公司的,银行的,入我的干吗,真它娘的没出息,最为关健的是搞坏了我的正版杀毒软件, 

怎么会这样,难道这么不堪一击吗,我的瑞星是正版啊!还是最新18.50.42,都杀不了它,这么历害.唉!该咱办,我们这些人!我的系统是sp1,后来没打什么补丁了,刚刚还原的系统,用了不到两天,天啊,我还是比较会用电脑的,要是别人恐怕要烦死,都不敢用电脑了,我通,我日,它妈,什么黑客,恶意网页,都见鬼去怕,我不用还不行吗?你它娘有本事去攻微软总部啊!

  具体做法,找到你安RAV的位置,这个目录下:\...\..Rising\Rav\Update\的rsguilib.dll 把它复到\..\..rising\里就可以启动升级了.不知道升了后会怎么样,唉!凑合吧.ïS´ÜÑT€öbbs.ikaka.comšy-šgz~§

补充说明:

当时还有几点请注意,就是病毒修改了服务中的rising 所开的几个服务为禁用,请改为自动,并重新启动才行的通.ïS´ÜÑT€öbbs.ikaka.comšy-šgz~§

再补充一点,就是病毒不知道修改了什么,过一会总会弹出这个网站:http://www.1861.sh ,真它娘的垃圾,就是提高访问量也不用这样吧!,有兴趣,咱们来一起用Ddos 攻击软件一起废了它.并没有修改主页,可能是隐藏在Ieexploer 里吧,还没试过清除,实在不行就Ghost 还原算了,懒得烦.ïS´ÜÑT€öbbs.ikaka.comšy-šgz~§

病毒:
svchost.dll.rs
440dbdcb.dll.rsïS´ÜÑT€öbbs.ikaka.comšy-šgz~§

按照你的步骤,反复做了,怎么还不是自动启动瑞星,好泄气啊
搞定后,重启下,又被禁止了ïS´ÜÑT€öbbs.ikaka.comšy-šgz~§

我用橙色八月在安全模式下杀毒找到了如下的病毒
文件名
MEMORY>>C:\PROGRAM FILES\COMON FILES\MICROSOF... 病毒名；未知病毒
MEMORY>>C:\PROGRAM FILES\COMON FILES\MICROSOF... 病毒名；未知病毒
MEMORY>>C:\PROGRAM FILES\COMON FILES\MICROSOF... 病毒名；未知病毒
MEMORY>>C:\PROGRAM FILES\COMON FILES\MICROSOF... 病毒名；未知病毒
C:\WINDOS\16186M.BMP... 病毒名；TROJAN.PSW.CMIR（类似）
C:\PROGRAM FILES\INTEREN EXPLORER\PLAGINS\SYS...病毒名；TROJAN.PSW.QQPASS（类似）
C:\SYSTEM VOLUME INPORMATION\RESTORE{188377OA...病毒名；TROJAN.PSW.WOWAR（类似）
C:\SYSTEM VOLUME INPORMATION\RESTORE{188377OA...病毒名；TROJAN.PSW.WOWAR（类似）
C:\SYSTEM VOLUME INPORMATION\RESTORE{188377OA...病毒名；TROJAN.PSW.WOWAR（类似）
C:\SYSTEM VOLUME INPORMATION\RESTORE{188377OA...病毒名；TROJAN.PSW.WOWAR（类似）
C:\DOCUMENTS AND SETT2NGS\LFG\LOCAC SETTINGSLT...病毒名；TROJAN.PSW.QQPASS（类似）
C:\DOCUMENTS AND SETT2NGS\LFG\LOCAC SETTINGSLT...病毒名；TROJAN.PSW.CMIR（类似）
C:\DOCUMENTS AND SETT2NGS\LFG\LOCAC SETTINGSLT...病毒名；TROJAN.PSW.WOWAR（类似）
我共杀了两次，都是这个样子的，第二次毒还是存在，最后有几个毒保存在一个叫VINRSUP的文件夹中
瑞星还是不能用，
上面打‘...’的可能是省略的地方，可是我看不到，
VINRSUP的文件夹中的文件2.EXE.rs 4.EXE.rs 18BC2D40.DLL.rs 16186M.BMP.rs
A0003364.DLL.rs A0003895.DLL.rs A0005745.EXE.rs MOI.COM.rs
SYSTEM16.SYS.rs
ïS´ÜÑT€öbbs.ikaka.comšy-šgz~§

【回复“小李鸽子”的帖子】

病毒在\_Restore目录（文件夹）下(WinMe)或者System Volume Information目录（文件夹）下(WinXP)，请关闭系统还原。


关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”，然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”，然后单击“确定”。
如前面指出的，这会将之前所有的还原点清除。单击“是”。
单击“确定”。

注：WIN XP在关闭系统还原功能时会清除文件夹的内容。ïS´ÜÑT€öbbs.ikaka.comšy-šgz~§

我的机子的瑞星老是打不开，说缺rsguilib.dll，无法打开链接，我找你说的，用SRENG扫描了，先附报告如下，希望能够得到解决，谢谢！~！~！~！~
2006-10-31,13:13:44

System Repair Engineer 2.2.6.605
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional  (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <svc><E:\WINDOWS\svchost.exe>  [N/A]
    <ctfmon.exe><E:\WINDOWS\System32\ctfmon.exe>  [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <CnsMin><Rundll32.exe E:\WINDOWS\downlo~1\CnsMin.dll,Rundll32>  [北京三七二一科技有限公司]
    <zt><E:\WINDOWS\Intel\rundll32.exe>  [N/A]
    <NvCplDaemon><RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup>  [(Verified)NVIDIA Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><E:\WINDOWS\System32\Userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{D157330A-9EF3-49F8-9A67-4141AC41ADD4}><E:\WINDOWS\downlo~1\cnshook.dll>  [北京三七二一科技有限公司]
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><>  [N/A]
    <{E568441B-9EF3-49F8-9A67-4141AC41ADD4}><E:\PROGRA~1\Yahoo!\ASSIST~1\assist\ypatch.dll>  [Yahoo! China]
    <{4BAB150F-DD97-476D-9C1E-41B6CDC0CA7A}><E:\PROGRA~1\Yahoo!\ASSIST~1\yclickon.dll>  [YAHOO Corporation Limited]
<{F13D3D5F-3D5F-13DA-5F13-D5F3DD5F13DA}><E:\Program Files\Common Files\Microsoft Shared\MSINFO\3D5F13DA.dll>  [N/A]
    <{3F133DA3-DA3D-3DDA-5F13-D5D5F3DA3D13}><E:\Program Files\Common Files\SYSTEM\3F1DD35A.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <91cast><; >  [N/A]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><; E:\WINDOWS\System32\ctfmon.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><; E:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    <Load><; ?矵??矵?    ?矵????N塿矑?>  [N/A]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <MSMSGS><; "E:\Program Files\Messenger\msmsgs.exe" /background>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <NvCplDaemon><; RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup>  [(Verified)NVIDIA Corporation]
    <NvMediaCenter><; RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit>  [(Verified)NVIDIA Corporation]
    <nwiz><; nwiz.exe /install>  [N/A]
    <PHIME2002A><; E:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Corporation]
    <PHIME2002ASync><; E:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC>ïS´ÜÑT€öbbs.ikaka.comšy-šgz~§

[(Verified)Microsoft Corporation]
    <sky><; E:\DOCUME~1\a\LOCALS~1\Temp\Skymmstp.exe>  [N/A]
    <Tray><; E:\WINDOWS\command\rundll32.exe>  [N/A]
    <twister><; "E:\Program Files\Filseclab\Twister\twister.exe" -a>  [N/A]
    <yassistse><; "E:\PROGRA~1\Yahoo!\Assistant\yassistse.exe">  [Yahoo! China]
    <YLive.exe><; E:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe>  [Yahoo! China]

==================================
启动文件夹
[1DAD35]
  <E:\Documents and Settings\All Users\「开始」菜单\程序\启动\1DAD35.exe -->  [N/A]><N>
[1DAD35]
  <E:\Documents and Settings\a\「开始」菜单\程序\启动\1DAD35.exe -->  [N/A]><N>

==================================
服务
[Human Interface Device Access / HidServ]
  <E:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[IMAPI CD-Burning COM Service / ImapiService]
  <E:\WINDOWS\System32\imapi.exe><Microsoft Corporation>
[Network DDE / NetDDE]
  <E:\WINDOWS\system32\SVCH0ST.EXE><N/A>
[NVIDIA Display Driver Service / NVSvc]
  <E:\WINDOWS\System32\nvsvc32.exe><NVIDIA Corporation>
[Rising Process Communication Center / RsCCenter]
  <"E:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[RsRavMon Service / RsRavMon]
  <"E:\Program Files\Rising\Rav\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>

==================================
驱动程序
[Aureal Game Port Enumerator / admjoy]
  <System32\DRIVERS\admjoy.sys><Aureal, Inc.>
[Rising TDI Base Driver / BaseTDI]
  <System32\DRIVERS\BaseTDI.SYS><Beijing Rising Technology Co., Ltd.>
[BdGuard / BdGuard]
  <\SystemRoot\System32\drivers\BDGuard.SYS><N/A>
[CnsMinKP / CnsMinKP]
  <\SystemRoot\System32\drivers\CnsMinKP.sys><Copyright (C) 3721 Corporation.>
[ExpScaner / ExpScaner]
  <\??\E:\Program Files\Rising\Rav\ExpScan.sys><>
[VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver / FETNDIS]
  <System32\DRIVERS\fetnd5.sys><VIA Technologies, Inc.>
[HOOKAPI / HOOKAPI]
  <\??\E:\PROGRAM FILES\RISING\RAV\HookApi.Sys><瑞星软件有限公司>
[HookCont / HookCont]
  <\??\E:\Program Files\Rising\Rav\HOOKCONT.sys><Rising tech Co. ltd>
[HookReg / HookReg]
  <\??\E:\Program Files\Rising\Rav\HookReg.sys><>
[HookSys / HookSys]
  <\??\E:\Program Files\Rising\Rav\HookSys.sys><Rising>
[MEMSCAN / MEMSCAN]
  <\??\E:\Program Files\Rising\Rav\MEMSCAN.sys><瑞星软件有限公司>
[nv / nv]
  <System32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink]
  <System32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Secdrv / Secdrv]
  <System32\DRIVERS\secdrv.sys><N/A>
[VIA AC'97 Audio Controller (WDM) / VIAudio]
  <system32\drivers\viaudios.sys><VIA Technologies, Inc.>
[yaskp / yaskp]
  <\SystemRoot\System32\drivers\yaskp.sys><Copyright (C) yahoo Corporation.>
[R2A / R2A]
  <\??\E:\WINDOWS\System32a2.sys><N/A>ïS´ÜÑT€öbbs.ikaka.comšy-šgz~§