瑞星卡卡安全论坛

升级时瑞星会下三个文件22410003.def.exe  22420103.def.exe  22420304.def.exe。下载后会立即往桌面上写入三个快捷方式 一个名字是“遨游”指向的是http://www.1155.com/u_jonyyg.html
另一个是“谷歌”指向http://www.kaers2009.net/ 还有一个伪IE图标指向http://www.kaers02.cn/
并且企图修改IE主页。
进程中总是比打开的网页多一个iexplore.exe
自动弹窗，指向上面三个网址。在C:\Program Files\Internet Explorer中生成几个图标。

跪求高手指点！！

管理员留言：
瑞星升级绝不会下载病毒，请放心
为了查明真相，请加QQ 86898582，工程师将为您远程诊断

附件: Ris.rar

请将22410003.def.exe  22420103.def.exe  22420304.def.exe 三个 文件跟帖打包上传。

上传了

瑞星不下载那些文件

应该是其他原因导致的。

楼主是局域网内么？？是通过什么方式观察到此文件的下载的呢？？

用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具  (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载


建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

请问 当时是如何升级的 用什么软件 是用升级包升级的么

直接手动在瑞星全功能安全软件的主页上点软件升级。

手动点升级时，在升级过程中的界面里显示下载这三个文件。在RIS文件夹里找到这三个文件。我用的是学校的宽带。

上报文件成功！
查询编号：RS20100413162003750510
为查询文件分析结果，请记录此编号。谢谢您的参与！

日志

附件: SREngLOG.log

如果方便请楼主加Q:86898582远程诊断

我的情况同楼主一模一样，我的是单位的局域网，每次自动弹出升级桌面就会自动出现以上三个图标，指向1188，删掉了又会自动出现

管理员留言：
请加QQ 86898582，工程师将为您远程诊断

补充一下，我办公室用的是09版的正版瑞星，我三位同事也是用这个，全部电脑都出现这个问题

我这没那情况呢

我怀疑是假冒瑞星的升级界面的什么恶意程序

并且此恶意程序可能运行后删除自身，找不到样本了

能详细回想当时是自己手工升级跳的，还是自动升级出现的呢？？

用专杀工具时，并没检测到病毒。
关机重启后，目前一切正常。没弹窗，升级瑞星也没有下载那三个文件。
继续观察中……

最初是不是自动升级下的，我没有注意。因为设置成即时升级，它问检测到新版本是否升级？我习惯的点了。没太留意下了什么文件。而后一段时间（应该不是立刻），就出现了上面的情况。从昨晚发现的这个情况。也可能是一些网站的恶意程序。
刚开始只是删掉图标，没发现那三个文件。后来360提示有程序试图写快捷方式，程序就是这三个文件，在RIS文件夹里。而后我删到了这几个文件。我在网上搜索这几个文件，发现网上说这几个文件会让瑞星不法升级。我就点开瑞星，手动升级。在下载的文件里。就是这三个文件。
基本就是这样了。

这局域网内的恶搞也太能整了

要这样看，瑞星得换升级服务器的地址了

汗

看来，合理的进程监控才是超重要的。

请楼主观察下如果还出现类似问题请尽快联系我们

请楼主全盘搜索rsconfig.cfg和RsConfig.cfg.bak文件，跟帖上传

还得加密哟

否则那序列号不保了哟:kaka5:

好的，谢谢大家。

给您发了短消息 请查收

我瑞星装在D盘。

附件: RsConfig.rar

您好 能否短消息给我留下您的QQ号码

:kaka4: 问一下这个问题最终解决了吗？小弟我也中招了。。。。

经核实您使用的瑞星为盗版产品，建议您卸载后，从瑞星官网下载免费半年版产品使用

下载地址：http://pc.rising.com.cn/rav.html点击下载试用，安装后请升级杀毒

关于伪IE快捷方式请下载1188专杀工具修复

下载地址：http://dl.rising.com.cn/VirusTools/2009-12-17/5817.html

请在病毒处理后，及时联系经销商更换