瑞星卡卡安全论坛

我是传奇的玩家，这2次进传奇就会有个提示说发现可疑文件。我就找到这个文件region.dll
然后我想删除它，可是怎么也删除不掉。请问这个是不是木马啊，如果是怎么删除。我在安全模式也删过了，也删不掉。还有啊在我的任务管理器里发现这个文件expl0rer.exe  ！
请问这个是什么啊，我在网上读到了篇文章说这个是木马程序。请各位老大救救我
我的传奇号早十几天被盗了，而且我的帐号还买了盛大密保保护的，哪个老大救我。
叩谢了！！！

请下载并使用HijackThis 1.99.1，扫描LOG发上来，方便大家分析。
【推荐】反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491

Hijackthis 1.99.1在哪里下啊？
我是菜鸟啊  扫描LOG是什么哦？老大教我！！！

引用:

【一帆72的贴子】Hijackthis 1.99.1在哪里下啊？ 我是菜鸟啊  扫描LOG是什么哦？老大教我！！！ ...........................

附件里是Hijackthis 1.99.1
使用方法
运行HijackThis，先点[扫描系统并保存日志]或[Do a system scan and save a logfile]按钮，扫描完成后，LOG将会在自动弹出的记事本中显示，再从记事本里复制/粘贴到贴子里。如果LOG比较长，一贴发不完，你可以分成几个部分发在回贴里。

附件: 3778802005717192530.rar

大哥啊~是不是这些东西 HijackThis@Qoo的扫描日志  V1.97.7
Scan saved at 7:46:46, on 2005-7-17
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.712\HijackThis.exe

O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.pol
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Unknown file in Winsock LSP: c:\winnt\vmaildog.dll
O10 - Unknown file in Winsock LSP: c:\winnt\vmaildog.dll
O10 - Unknown file in Winsock LSP: c:\winnt\vmaildog.dll
O10 - Unknown file in Winsock LSP: c:\winnt\vmaildog.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

还有个问题
我刚刚在用Hijackthis 1.99.1
扫描的时候扫到一个文件就总是要我重起机器哦

你的Hijackthis版本太老，请下载 Hijackthis 1.99.1版本
请启动到安全模式，如果使用了系统还原，请先关闭。
请关闭所有浏览器窗口和文件夹窗口，重新使用HijackThis扫描,在下列建议修复的项目前打上勾，然后点[修复](Fix)（如果你清楚某项是安全的，可以不处理）：
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

引用:

【一帆72的贴子】还有个问题 我刚刚在用Hijackthis 1.99.1 扫描的时候扫到一个文件就总是要我重起机器哦 ...........................

扫描到一个文件就总是要我重起机器，那个文件？

我去下1.91Logfile of HijackThis v1.99.1
Scan saved at 8:15:18, on 2005-7-17
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINNT\system32\notepad.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX04.184\HijackThis.exe

O10 - Unknown file in Winsock LSP: c:\winnt\vmaildog.dll
O10 - Unknown file in Winsock LSP: c:\winnt\vmaildog.dll
O10 - Unknown file in Winsock LSP: c:\winnt\vmaildog.dll
O10 - Unknown file in Winsock LSP: c:\winnt\vmaildog.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: SyGateService (SaService) - Sygate technologies Inc. - C:\Program Files\Sygate\SON\sgserv.exe

请启动到安全模式，如果使用了系统还原，请先关闭。
终止下列进程
C:\WINNT\system32\notepad.exe
请关闭所有浏览器窗口和文件夹窗口，重新使用HijackThis扫描,在下列建议修复的项目前打上勾，然后点[修复](Fix)（如果你清楚某项是安全的，可以不处理）：
C:\WINNT\system32\notepad.exe
删除文件(如果存在的话)
C:\WINNT\system32\notepad.exe

谢谢大哥  衷心谢谢
我现在就去试
如果没有解决我在找您了

楼主的问题解决了吗？

大哥啊  我按你的把那个文件删除了
我现在还有个问题
我发现我的任务管理器里面有个这样的东西
  （（（（EXPL0rer.exe）））
  这是什么东西？谢谢

请把整个EXPL0rer.exe进程结束
删除文件
EXPL0rer.exe
正常的是字母o，而不是数字0

这个进程结束不了
一结束它屏幕就蓝了什么也看不见
  铁骑大哥能告诉我你的QQ吗
  我想要你教我啊！好吗？

我的QQ号是357185690

我的扫描日志 大哥帮我看看HijackThis_zww汉化版扫描日志 V1.99.1
保存于      5:16:07, 日期 2005-7-18
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Rising\rfw\Rfw.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.393\HijackThis1991zww.exe

O1 - Hosts: 202.103.67.180 auto.search.msn.com
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O10 - 未知的文件在 Winsock LSP: c:\winnt\vmaildog.dll
O10 - 未知的文件在 Winsock LSP: c:\winnt\vmaildog.dll
O10 - 未知的文件在 Winsock LSP: c:\winnt\vmaildog.dll
O10 - 未知的文件在 Winsock LSP: c:\winnt\vmaildog.dll
O18 - 列举现有的协议: ipp - (no CLSID) - (no file)
O18 - 列举现有的协议: msdaipp - (no CLSID) - (no file)
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务: SyGateService (SaService) - Sygate technologies Inc. - C:\Program Files\Sygate\SON\sgserv.exe

从log上看是正常的，没有看到EXPL0rer.exe这个进程。你把windows任务管理器的截图传上来。
请参考endurer 朋友的 主题： 【原创】怎么截图然后发到论坛上啊？
下面是其中的一种方法：
1。按键盘上的PrintScreen键把整个屏幕一起拷贝到剪贴板，或者按键盘上的Alt + PrintScreen键把当前活动窗口拷贝到剪贴板

2。打开WINDOWS附件中的画图

用菜单：

1）如果不是整个屏幕一起拷贝的话，先做这一步：

图像--》属性...

在弹出的对话框里，把宽度和高度设为1， 单位设为“像素”，点[确定]按钮。


2）编辑--》粘贴

如果弹出对话框，提示“剪贴板中的图像比位图大，想扩大位图吗？”，请点击“是”按钮。

3）文件--》另存为...

把文件类型设为JPG或GIF类型

接着输入文件名，再点[保存]按钮即可保存。


在快速回复区点击[标准模式]按钮。

点击下方的“文件上传”区右边的“浏览...”按钮，选择前面保存的图片文件，再点击“回复(Ctrl + Enter)”按钮即可。

引用:

【一帆72的贴子】这个进程结束不了 一结束它屏幕就蓝了什么也看不见   铁骑大哥能告诉我你的QQ吗   我想要你教我啊！好吗？ ...........................

蓝了什么也看不见的图片传上来看一下。

没有办法截图了

引用:

【一帆72的贴子】没有办法截图了 ...........................

没有办法截图了，什么意思？
截图方法在第17楼

我不会截啊  郁闷
谢谢你了

引用:

【一帆72的贴子】我不会截啊  郁闷 谢谢你了 ...........................

下面是其中的一种方法：
1。按键盘上的PrintScreen键把整个屏幕一起拷贝到剪贴板，或者按键盘上的Alt + PrintScreen键把当前活动窗口拷贝到剪贴板

2。打开WINDOWS附件中的画图

用菜单：

1）如果不是整个屏幕一起拷贝的话，先做这一步：

图像--》属性...

在弹出的对话框里，把宽度和高度设为1， 单位设为“像素”，点[确定]按钮。


2）编辑--》粘贴

如果弹出对话框，提示“剪贴板中的图像比位图大，想扩大位图吗？”，请点击“是”按钮。

3）文件--》另存为...

把文件类型设为JPG或GIF类型

接着输入文件名，再点[保存]按钮即可保存。


在快速回复区点击[标准模式]按钮。

点击下方的“文件上传”区右边的“浏览...”按钮，选择前面保存的图片文件，再点击“回复(Ctrl + Enter)”按钮即可。