"我爱RMB"是什么病毒~ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 "我爱RMB"是什么病毒~

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

"我爱RMB"是什么病毒~

有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:	发表于： 2005-11-26 13:58 \| 显示全部短消息资料字号：小中大 1楼 "我爱RMB"是什么病毒~ "我爱RMB"是什么病毒~ 进程里有一项用进程查看的时候,,怀疑是病毒... 而且机器上有时候就会弹出一个框上面是 "我爱RMB,,下面翻译过来是无效的图片" 有谁知道啊..谢谢大家了呢. 2005-12-06 14:48:27
有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:	分享到：

有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:	发表于： 2005-11-26 14:22 \| 显示全部短消息资料字号：小中大 2楼顶啊..不要沉了呢...大家说说看...有知道的说说看啊.
有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:

有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:	发表于： 2005-11-26 16:48 \| 显示全部短消息资料字号：小中大 3楼顶啊..不要沉了呢...大家说说看...有知道的说说看啊. 顶啊..不要沉了呢...大家说说看...有知道的说说看啊. 顶啊..不要沉了呢...大家说说看...有知道的说说看啊. 顶啊..不要沉了呢...大家说说看...有知道的说说看啊. 顶啊..不要沉了呢...大家说说看...有知道的说说看啊. 顶啊..不要沉了呢...大家说说看...有知道的说说看啊.
有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:

有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:	发表于： 2005-12-03 07:59 \| 显示全部短消息资料字号：小中大 4楼进程名6 文件大小类型发行公司描述 CCenter.exe 108k 应用程序 Beijing Rising Technology Co., Ltd. 瑞星杀毒软件的一部分.. Clsmn.exe 601k 应用程序一款网吧管理软件客户.. csrss.exe 6k 系统程序 Microsoft Corporation 客户端服务子系统，用.. Explorer.exe 954k 系统程序 Microsoft Corporation Windows Pr.. iexplore.exe 91k 应用程序 Microsoft Corporation Microsoft .. iexplore.exe 91k 应用程序 Microsoft Corporation Microsoft .. internat.exe 20k 系统程序 Microsoft Corporation 输入控制图标用于更改.. lsass.exe 13k 系统程序 Microsoft Corporation 本地安全权限服务控制.. nvsvc32.exe 128k 应用程序 NVIDIA Corporation NVIDIA Dri.. RavTask.exe 112k 未知 Beijing Rising Technology Co., Ltd. RecSche.EXE 88k 未知 rundll32.exe 32k 应用程序 Microsoft Corporation Windows Ru.. Rundll32.exe 32k 应用程序 Microsoft Corporation Windows Ru.. services.exe 105k 系统程序 Microsoft Corporation 用于管理Window.. smss.exe 49k 应用程序 Microsoft Corporation 进程为会话管理子系统.. svchost.exe 40k 病毒我爱RMB 怀疑为恶意程序或病毒.. svchost.exe 14k 系统程序 Microsoft Corporation Service Ho.. svchost.exe 14k 系统程序 Microsoft Corporation Service Ho.. svchost.exe 14k 系统程序 Microsoft Corporation Service Ho.. svchost.exe 14k 系统程序 Microsoft Corporation Service Ho.. SysIdleProcess 0k 未知 winlogon.exe 476k 系统程序 Microsoft Corporation Windows NT..
有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:

有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:	发表于： 2005-12-03 08:01 \| 显示全部短消息资料字号：小中大 5楼 HijackThis_815汉化版扫描日志 V1.99.1 保存于 8:02:01, 日期 2005-12-3 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe d:\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\Clsmn.exe C:\WINDOWS\system32\rundll32.exe D:\Rising\Rav\RavTask.exe C:\Program Files\LifeView\LifeView TVR\RecSche.EXE C:\WINDOWS\system32\internat.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\SYSTEM\svchost.exe D:\Temp\Rar$EX00.797\HijackThis1991zww.exe R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\SYSTEM\svchost.exe O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\3721\Assist\Angling.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\chat\QQ2005b2\QQIEHelper.dll (file missing) O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll O3 - IE工具栏增项: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll O4 - 启动项HKLM\\Run: [wxClient] C:\WINDOWS\system32\Clsmn.exe O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32 O4 - 启动项HKLM\\Run: [RavTask] "d:\Rising\Rav\RavTask.exe" -system O4 - 启动项HKLM\\RunServices: [LvHidSvc] C:\WINDOWS\system32\lvhidsvc.exe O4 - Startup: INTERNAT.lnk = C:\WINDOWS\system32\internat.exe O4 - Startup: 升级勿动.rtf O4 - Global Startup: TVR Schedule.lnk = ?SystemRoot%\Installer\{E4C3B10E-E277-4458-8440-DAE332D50BF3}\_4ae13d6c.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - IE右键菜单中的新增项目: !搜一搜 - res://C:\WINDOWS\downlo~1\CnsMinEx.dll/1003 O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Thunder\geturl.htm O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Thunder\getallurl.htm O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\chat\QQ2005b2\AddPanel.htm O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\chat\QQ2005b2\AddEmotion.htm O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\chat\QQ2005b2\SendMMS.htm O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - D:\BitSpirit\bsurl.htm O9 - 浏览器额外的按钮: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing) O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\netgame\浩方对战平台\GameClient.exe O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing) O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=?allyesPara=816 (file missing) O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/?source=Cns (file missing) O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\chat\QQ2005b2\QQ.EXE (file missing) O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\chat\QQ2005b2\QQ.EXE (file missing) O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\chat\QQ2005b2\QQIEHelper.dll (file missing) O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\chat\QQ2005b2\QQIEHelper.dll (file missing) O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing) O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing) O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing) O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing) O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing) O11 - Options group: [!CNS] 上网助手-地址栏搜索 O16 - DPF: _{4AF6677A-373A-4BB9-BD9F-6196B6FC35B3} - http://bb.qq.com/media/QQTVOcxSetup.exe O16 - DPF: {5DD731E6-D4F0-11D3-BE3F-00105A6FDA50} (V3ProX Control) - http://origin-www.ahn.com.cn/aspservice/plugin/myv3.cab O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BB417480-F92D-473C-9D04-53BBEEA0B4E3}: NameServer = 219.150.32.132,219.146.0.130 O17 - HKLM\System\CCS\Services\Tcpip\..\{EE2878F9-FA6A-48F8-B236-D05ED3611C41}: NameServer = 219.146.0.130,219.150.32.132 O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Rising\Rav\CCenter.exe
有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:

有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:	发表于： 2005-12-05 09:55 \| 显示全部短消息资料字号：小中大 6楼我查出来了这个病毒了，，可是还是杀不净，在我的c:\windows\system\里有三个文件都是病毒的文件。 svchost.exe lsass.exe SERVICES.exe 都删了，过会就又有了，，我现在做了几个空文件属性改成只读，svchost.exe 用的是SYSTEM32目录里的哪个文件。。现在没事。只要一重启就又会出来。而且注册表里的所有关于这个目录的东西我都查过了。都删了。。可是还是不行。看任务管理器的时候。开始以为只有一个svchost.exe是病毒，没想到。还有一个svchost.exe也有问题。一个是2,820K。一个是4,210K的。。不知道我重启了还会有没有。。。我先重启先。
有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:

有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:	发表于： 2005-12-05 09:57 \| 显示全部短消息资料字号：小中大 7楼 O4 - 启动项HKLM\\Run: [wxClient] C:\WINDOWS\system32\Clsmn.exe O4 - 启动项HKLM\\RunServices: [LvHidSvc] C:\WINDOWS\system32\lvhidsvc.exe 一个是万象的客户端，一个是电视卡的。。。
有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:

有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:	发表于： 2005-12-05 10:00 \| 显示全部短消息资料字号：小中大 8楼 Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "LangID"=hex:04,08 "@shell32.dll,-21779"="图片收藏" "C:\\Program Files\\Microsoft Office\\OFFICE11\\OIS.EXE"="Microsoft Office Picture Manager" "@shell32.dll,-21773"="游戏" "@shell32.dll,-21787"="启动" "@shell32.dll,-21761"="附件" "C:\\Program Files\\Microsoft Office\\OFFICE11\\POWERPNT.EXE"="Microsoft Office PowerPoint" "@shell32.dll,-21765"="Application Data" "@C:\\WINDOWS\\system32\\SHELL32.dll,-9227"="我的文档" "@shell32.dll,-21790"="我的音乐" "@C:\\WINDOWS\\system32\\SHELL32.dll,-9216"="我的电脑" "C:\\WINDOWS\\system32\\rcimlby.exe"="Microsoft Remote Assistance" "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"="Microsoft Help and Support Center" "@C:\\WINDOWS\\system32\\rcbdyctl.dll,-152"="远程协助 " "@shell32.dll,-30476"="显示管理工具" "@shell32.dll,-21795"="%s 的视频" "\\\\PC502\\system$\\system\\SVCHOST.EXE"="RMB万岁" "C:\\WINDOWS\\SYSTEM\\svchost.exe"="RMB万岁" "C:\\Program Files\\WinRAR\\WinRAR.exe"="WinRAR" "C:\\WINDOWS\\system32\\arp.exe"="TCP/IP Arp Command" "C:\\WINDOWS\\system32\\cmd.exe"="Windows Command Processor" "C:\\WINDOWS\\system32\\ntsd.exe"="Symbolic Debugger for Windows 2000" "\\\\PC202\\system$\\system\\SVCHOST.EXE"="RMB万岁" "C:\\WINDOWS\\system32\\netstat.exe"="TCP/IP Netstat Command" "C:\\Program Files\\LifeView\\LifeView TVR\\TVR.exe"="TVR" "C:\\Program Files\\LifeView\\LifeView TVR\\video.ex_"="video" "\\\\PC423\\system$\\system\\SVCHOST.EXE"="RMB万岁" "\\\\PC337\\system$\\system\\SVCHOST.EXE"="RMB万岁" "\\\\PC332\\system$\\system\\SVCHOST.EXE"="RMB万岁" "\\\\PC431\\system$\\system\\SVCHOST.EXE"="RMB万岁" "\\\\PC238\\system$\\system\\SVCHOST.EXE"="RMB万岁" "\\\\PC8315\\system$\\system\\SVCHOST.EXE"="RMB万岁" "\\\\PC233\\system$\\system\\SVCHOST.EXE"="RMB万岁" "C:\\Documents and Settings\\Administrator\\桌面\\GhostSrv.exe"="Symantec GhostCast Server for Windows" "@C:\\WINDOWS\\system32\\SHELL32.dll,-29188"="搜索计算机(&C)..." "@netcfgx.dll,-50002"="允许您的计算机访问 Microsoft 网络上的资源。" "@netcfgx.dll,-50003"="允许其它计算机用 Microsoft 网络访问您的计算机上的资源。" "@netcfgx.dll,-50014"="使 Novell NetBIOS 数据包在运行 Novell NetBIOS 的 NetWare 服务器和 Windows 计算机之间，或两个 Windows 计算机之间得到传送。" "@netcfgx.dll,-50013"="IPX 和 SPX 协议的实现，将用于 NetWare 网络。" "@netcfgx.dll,-50001"="TCP/IP 是默认的广域网协议。它提供跨越多种互联网络的通讯。" "C:\\WINDOWS\\system32\\shell32.dll"="Windows Shell Common Dll" "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="RealPlayer" "C:\\Program Files\\Windows Media Player\\wmplayer.exe"="Windows Media Player"
有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:

有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:	发表于： 2005-12-05 10:01 \| 显示全部短消息资料字号：小中大 9楼好像是通过网络运行的。。。晕～
有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:

有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:	发表于： 2005-12-06 14:48 \| 显示全部短消息资料字号：小中大 10楼 15楼的。没事的。。system32里的是系统的.. 我的是在system里的。。三个文件。而且通过网络传播的。我都建立了三个假文件，属性只读，还是这样。。。瑞星，我机器上装着2006的呢。。瑞星没有反应的。最新版的。。最早的我在3721上提交过这个进程。。可是也没人回答我。
有人用了初生襁褓狮帖子:10 注册: 2005-11-25 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT