瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 求助;发现这个rundll32.ese可疑文件,是不是病毒??
静磊阁 - 2005-7-23 9:18:00
我晕,我已经升级到了最新版本,在安全模式下杀也没发现病毒,但是一上传奇,就显示发现windows\system32\rundll32.ese木马,游戏都进不去了,我应该怎么删除这个文件
花落花又开 - 2005-7-23 9:22:00
rundll32.ese???

请用hijackthis1.99.1扫个日志贴到贴子上来.

下载ADD:
HijackThis下载地址请参考:
【必读】本版说明及常用小软件下载
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
静磊阁 - 2005-7-23 9:34:00
Logfile of HijackThis v1.99.1
Scan saved at 9:31:28, on 2005-7-23
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Ringz Studio\Storm Downloader\StormDownloader.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\3721\ske\TrojanAssistant.exe
C:\WINDOWS\explorer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\user\LOCALS~1\Temp\Rar$EX00.406\HijackThis.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v4.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\3721\Assist\Angling.dll
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\assist\asbar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\assist\asbar.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [CnsMin] rem Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [MINI_BFYY] C:\Program Files\Ringz Studio\Storm Downloader\StormDownloader.exe
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: !搜一搜 - res://C:\WINDOWS\downlo~1\CnsMinEx.dll/1003
O8 - Extra context menu item: &使用暴风下载器下载 - C:\Program Files\Ringz Studio\Storm Downloader\geturl.htm
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS]  网络实名
O16 - DPF: {2EA6D939-4445-43F1-A12B-8CB3DDA8B855} (BlueskyVideo Control) - http://www.bluesky.cn/download/v2_60.cab
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {991481A7-4669-4E15-8C24-100404E1F5CB} (Blueskyvoice Control) - http://www.bluesky.cn/download/blueskyvoice_60.cab
O16 - DPF: {99888952-AC62-437C-AFC6-7B5CF05A7F2F} (IEDown Class) - http://download.ourgame.com/IEDown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58FA6A84-CD3E-4100-A816-709E2699583B}: NameServer = 202.102.192.68 202.102.199.68
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe



附件: 293365200572393404.rar
花落花又开 - 2005-7-23 9:35:00
【回复“花落花又开”的帖子】

您好,请问阁下,您把hijackthis传上来有什么指示呢?
花落花又开 - 2005-7-23 9:39:00
修复:
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O16 - DPF: {2EA6D939-4445-43F1-A12B-8CB3DDA8B855} (BlueskyVideo Control) - http://www.bluesky.cn/download/v2_60.cab
O16 - DPF: {991481A7-4669-4E15-8C24-100404E1F5CB} (Blueskyvoice Control) - http://www.bluesky.cn/download/blueskyvoice_60.cab
O16 - DPF: {99888952-AC62-437C-AFC6-7B5CF05A7F2F} (IEDown Class) - http://download.ourgame.com/IEDown.cab


您好,您的日志似乎无异常.请问那个所谓的木马是什么软件报的?

请打包上来.
命运里の金色 - 2005-7-23 9:54:00
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
这两项请楼主确认,我没看见过
花落花又开 - 2005-7-23 10:00:00
smwizard.exe 包含在软件
名字: Windows XP Home Edition, Deutsch
执照: 商业
信息链接: http://www.microsoft.com/windowsxp/
文件细节
文件道路: C:\WINDOWS\system \ smwizard.exe
文件日期: 2003-11-27 17:52:46
版本: 1.0.2.2
文件大小: 1.454.080 字节
检查和和文件hashes
CRC32: C1E4875A
MD5: C017 C053 ABB4 86EB 0079 B93B 4A2B 53CC
SHA1: 6B80 4D9E 721A 3C13 8EC2 3E53 77D5 B0C5 718D B5C2
版本资源信息
公司名称: C-Media Electronics Inc.
文件描述: SmartWizard MFC Application
文件操作系统: 32-bit Windows
文件类型: Application
文件版本: 1.0.2.2
内部名: SmartWizard
法律版权: Copyright (C) 2003
原始的文件名: SmartWizard.EXE
产品名称: SmartWizard Application
产品版本:

----------------------------------------------
Cmaudio:声卡或声卡的驱动
静磊阁 - 2005-7-23 10:24:00
[img][/img]

附件: 2933652005723102530.jpg
静磊阁 - 2005-7-23 10:30:00
[img][/img]

附件: 2933652005723103040.jpg
花落花又开 - 2005-7-23 10:31:00
【回复“静磊阁”的帖子】

请问楼主是用什么软件查到?请告之病毒名称,路径,杀软的处理报告.
静磊阁 - 2005-7-23 11:32:00
【回复“花落花又开”的帖子】
应该是上次传奇更新后,它检查出来的文件,用瑞星杀却没有病毒,看了好多别人的贴子,有人说,删除什么上网助手,有可能是网络实名的原因,有人说又是什么别的原因,现在一上游戏,就出现这个问题,游戏也不能登陆了!我想想问问,这是不是病毒,应该怎么删除,那个报错的文件,我也弄不清楚是什么报出来的!它是在c;\windows\system32\rundll32.ese
0920365 - 2005-7-23 11:39:00
遇见同样的问题,快点给讲讲怎么杀
晓肚肚 - 2005-7-23 11:50:00
确实,你删了上网助手试试,上网助手开了会有RUNDLL的进程
0920365 - 2005-7-23 11:52:00
你试了没有?我删了不行,进入传奇还是提示有
安康大无畏 - 2005-7-23 12:04:00
我也是同样的问题~到底是真有毒还是傻瓜传奇误报~
0920365 - 2005-7-23 12:06:00
我的两个大号都46级,都不敢上,版主也不管我们了
K老皮 - 2005-7-23 12:10:00
问问盛大吧。没有什么可疑的程序啊
命运里の金色 - 2005-7-23 12:11:00
在安全模式下,用killbox,输入路径直接删除
安康大无畏 - 2005-7-23 12:13:00
盛大连论坛都不敢开~怎么问啊~
小毛豆 - 2005-7-23 12:59:00
我的也是传奇升级后用都有这个问题  我换了两台机子试了有会出现这个提示  那个windows\system32\rundll32.ese
好像是输入法的程序
0920365 - 2005-7-23 14:50:00
在安全模式下,用killbox,输入路径直接删除
什么是killbox???能说明白点吗
命运里の金色 - 2005-7-23 14:59:00
附件为killbox

附件: 4147582005723145929.rar
静磊阁 - 2005-7-23 15:59:00
没用,我用那个文件输入完整的路径,却找不到这个文件,我的头都大了,卸了3721,网络实名一点用处都没!这个到底是不是病毒,还有什么方法可以把它解决掉,望有人告知,谢谢!
黑客我恨你 - 2005-7-23 16:04:00
重新下载传奇试试
0920365 - 2005-7-23 17:59:00
瑞星查不出来,我白买了,花了180元买了个垃圾
艾玛 - 2005-7-23 18:22:00
推荐楼主使用瑞星杀毒软件查一下,若无问题即可安心了

http://kvirus.blogchina.com/2270920.html
静磊阁 - 2005-7-23 19:12:00
【回复“艾玛”的帖子】
问题是我用瑞星和别的杀毒软件查不出来,但是一上游戏就弹出来那些东西,游戏也进不去了!
天才少年 - 2005-7-23 19:29:00
杀!!!!!!!!!!!!!!!!!!!
天才少年 - 2005-7-23 19:29:00
fgsdf
艾玛 - 2005-7-23 19:31:00
您搜索一下系统盘上的rundll忽略大小写报告一下
12
查看完整版本: 求助;发现这个rundll32.ese可疑文件,是不是病毒??
© 2000 - 2026 Rising Corp. Ltd.