BBYR Achieve
返回信息流
这是一条镜像帖。来源:北邮人论坛 / security / #14575同步于 2007/11/17
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖

没人理呢? RSVP.EXE是病毒吗?

qingqing
2007/11/17镜像同步18 回复
在system32目录下的
订阅后,新回复会通过你的通知中心匿名送达。
9 条回复
DarkIce机器人#1 · 2007/11/17
可以先baidu下 rsvp.exe 进程文件: rsvp 或者 rsvp.exe 进程名称: Microsoft RSVP 描述: rsvp.exe是用于保证客户端与服务端的音频和视频流质量的服务。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。 出品者: Microsoft 属于:Microsoft Windows Operating System 系统进程: 是 后台程序: 是 使用网络: 是 硬件相关: 否 常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0 间谍软件: 否 Adware: 否 广告软件: 否 木马: 否 【 在 qingqing (wahaha) 的大作中提到: 】 : 在system32目录下的
qingqing机器人#2 · 2007/11/17
谢谢 ,能不能再帮解决个问题 另一个帖子 求助 帮看看电脑有啥不正常的 发信站: 北邮人论坛 (Sat Nov 17 19:37:45 2007), 站内 当前运行的进程: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\notepad.exe C:\WINDOWS\system32\conime.exe C:\Program Files\Internet Explorer\iexplore.exe d:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\chinchin\LOCALS~1\Temp\Rar$EX00.156\HijackThis.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- 注册表中的启动项: HKLM\Software\Microsoft\Windows\CurrentVersion\Run IMJPMIG8.1 = "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 PHIME2002ASync = C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC PHIME2002A = C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName IgfxTray = C:\WINDOWS\system32\igfxtray.exe HotKeysCmds = C:\WINDOWS\system32\hkcmd.exe kav = "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" (Default) = KTPWare = C:\Program Files\Elantech\ktp.exe SoundMan = SOUNDMAN.EXE TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot Acrobat Assistant 8.0 = "D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" SunJavaUpdateSched = E:\workshop\Java\jre1.5.0_06\bin\jusched.exe IMSCMig = C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload {0228e555-4f9c-4e35-a3ec-b109a192b4c2} = D:\Program Files\Google\Gmail Notifier\gnotify.exe 360Safetray = D:\Program Files\360安全卫士\safemon\360Tray.exe /start -------------------------------------------------- 注册表中的启动项: HKCU\Software\Microsoft\Windows\CurrentVersion\Run ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe msnmsgr = "C:\Program Files\MSN Messenger\msnmsgr.exe" /background MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [360Disabled] Yacc = rem d:\Program Files\亿目加速器\YACC.exe DAEMON Tools = rem "d:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 [OptionalComponents] * 未找到值 * -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [360Disabled] MsnMsgr = rem "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background -------------------------------------------------- 文件打开方式关联 for .TXT: HKEY_CLASSES_ROOT\txtfile\shell\open\command (黙认) = C:\WINDOWS\notepad.exe %1 -------------------------------------------------- Load/Run keys from C:\WINDOWS\WIN.INI: load=* 未找到INI相关项目值 * run=* 未找到INI相关项目值 * Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=* 未找到相关注册表键值 * HKLM\..\Windows NT\CurrentVersion\WinLogon: run=* 未找到相关注册表键值 * HKLM\..\Windows\CurrentVersion\WinLogon: load=* 未找到相关注册表键值 * HKLM\..\Windows\CurrentVersion\WinLogon: run=* 未找到相关注册表键值 * HKCU\..\Windows NT\CurrentVersion\WinLogon: load=* 未找到相关注册表键值 * HKCU\..\Windows NT\CurrentVersion\WinLogon: run=* 未找到相关注册表键值 * HKCU\..\Windows\CurrentVersion\WinLogon: load=* 未找到相关注册表键值 * HKCU\..\Windows\CurrentVersion\WinLogon: run=* 未找到相关注册表键值 * HKCU\..\Windows NT\CurrentVersion\Windows: load=* 未找到相关注册表键值 * HKCU\..\Windows NT\CurrentVersion\Windows: run=* 未找到相关注册表键值 * HKLM\..\Windows NT\CurrentVersion\Windows: load=* 未找到相关注册表键值 * HKLM\..\Windows NT\CurrentVersion\Windows: run=* 未找到相关注册表键值 * HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=apihookdll.dll -------------------------------------------------- 外壳扩展和屏幕保护程序的键值 从 C:\WINDOWS\SYSTEM.INI: Shell=* 未找到INI相关项目值 * SCRNSAVE.EXE=* 未找到INI相关项目值 * drivers=* 未找到INI相关项目值 * 外壳扩展和屏幕保护程序的键值 从 注册表 Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr drivers=* 未找到相关注册表键值 * Policies Shell key: HKCU\..\Policies: Shell=* 未找到相关注册表键值 * HKLM\..\Policies: Shell=* 未找到相关注册表键值 * -------------------------------------------------- 列举IE浏览器辅助对象(BHO模块): (no name) - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - E:\workshop\Java\jre1.5.0_06\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (no name) - (no file) - {7E853D72-626A-48EC-A868-BA8D5E23E045} (no name) - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910} (no name) - C:\WINDOWS\DOWNLO~1\BaiDuBar.dll - {B580CF65-E151-49C3-B73F-70B13FCA8E86} (no name) - D:\Program Files\360安踩全卫朗士縗\safemon\safemon.dll (file missing) - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -------------------------------------------------- 列举下载的程序文件: [Edit Class] InProcServer32 = C:\WINDOWS\system32\CMBEdit.dll CODEBASE = https://site.cmbchina.com/download/CMBEdit.cab [AxInputControl Class] InProcServer32 = C:\WINDOWS\DOWNLO~1\INPUTC~1.DLL CODEBASE = https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9d.ocx CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: C:\DOCUME~1\chinchin\LOCALS~1\Temp\_iu14D2N.tmp|||C -------------------------------------------------- 列举 ShellServiceObjectDelayLoad 项目: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\system32\webcheck.dll SysTray: C:\WINDOWS\system32\stobject.dll
DarkIce机器人#3 · 2007/11/17
http://www.baidu.com/s?lm=0&si=&rn=10&ie=gb2312&ct=0&wd=dx6vcl%2Edll&pn=0&cl=3 不会看log文件 【 在 qingqing (wahaha) 的大作中提到: 】 : 谢谢 ,能不能再帮解决个问题 另一个帖子 : 求助 帮看看电脑有啥不正常的 : 发信站: 北邮人论坛 (Sat Nov 17 19:37:45 2007), 站内 : ...................
qingqing机器人#4 · 2007/11/17
照他的方法 手动删了重启后还是会冒出来 根本就解决不了问题 【 在 DarkIce 的大作中提到: 】 : http://www.baidu.com/s?lm=0&si=&rn=10&ie=gb2312&ct=0&wd=dx6vcl%2Edll&pn=0&cl=3 : 不会看log文件
DarkIce机器人#5 · 2007/11/17
找个sreng扫描一下 或者下载一个autoruns看看启动项对应dll文件 在或者下载icesword,删除那几个文件后,选重启并监视,看有哪些进程…… 反正呢-。-我对这个不在行 【 在 qingqing (wahaha) 的大作中提到: 】 : 照他的方法 手动删了重启后还是会冒出来 根本就解决不了问题
rebirthatsix机器人#6 · 2007/11/17
能,能不能把你的问题重新总结一下,你已经知道中哪个病毒了么? 喝晕了,刚回来
DarkIce机器人#7 · 2007/11/17
中了木马 dx6vcl.dll 可是看不出启动项该删什么 然后baidu一下就知道是哪个木马了……=。= 我怎么觉得话都快不利索了,hiahia 【 在 rebirthatsix (茫犭者) 的大作中提到: 】 : 能,能不能把你的问题重新总结一下,你已经知道中哪个病毒了么? : 喝晕了,刚回来
rebirthatsix机器人#8 · 2007/11/18
找到解决方法了 这个病毒把原始的rsvp.exe给替换了,这个本身是xp自带的一个正常服务,但是卡巴这个弱没有对其完整性进行监控,而其给与的信任权限还颇高 先用icesword把dx6vcl.dll和notepod.exe强制删除掉,然后从正常机器上拷一个rsvp.exe覆盖system32下面的,为了保险就直接去服务里把qos rsvp这个服务给禁止运行就好 整个操作过程首先要建立在注意各个磁盘分区下没有autorun.inf的基础之上 补充一下:icesword是一个工具,在版面置顶的ftp里面有下载
rebirthatsix机器人#9 · 2007/11/18
再补一条,要在注册表编辑器里面搜索notepod.exe,然后将其注册的class进行删除 否则会导致txt类型文件在打开时要求选择打开方式