苦恼，eraseme_*****（五位不定的数）是什么病毒呀？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛苦恼，eraseme_*（五位不定的数）是什么病毒呀？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

苦恼，eraseme_*****（五位不定的数）是什么病毒呀？

小Dei 初生襁褓狮帖子:16 注册: 2005-12-08 来自:	发表于： 2005-12-21 22:02 \| 只看楼主短消息资料字号：小中大 1楼苦恼，eraseme_*****（五位不定的数）是什么病毒呀？瑞星的实时监控近一个月来不定时的显示中了Backdoor.Rbot.lpj病毒，老杀不干净。这怎么办呀？到底是个什么病毒呀？进程里也看不出中了个什么！请求高手的帮助删除成功 05-12-05 13:28 实时监控 C:\WINNT eraseme_85022.exe\本机删除成功 05-12-07 21:29 实时监控 C:\WINNT eraseme_62084.exe\本机删除成功 05-12-08 13:36 实时监控 C:\WINNT eraseme_85235.exe\本机删除成功 05-12-11 12:38 实时监控 C:\WINNT eraseme_76406.exe\本机删除成功 05-12-11 16:42 实时监控 C:\WINNT eraseme_67160.exe\本机删除成功 05-12-12 17:57 实时监控 C:\WINNT eraseme_56036.exe\本机删除成功 05-12-17 18:56 实时监控 C:\WINNT eraseme_85451.exe\本机删除成功 05-12-17 18:57 实时监控 C:\WINNT eraseme_43428.exe\本机删除成功 05-12-18 13:22 实时监控 C:\WINNT eraseme_46555.exe\本机删除成功 05-12-18 14:04 实时监控 C:\WINNT eraseme_20333.exe\本机删除成功 05-12-18 16:46 实时监控 C:\WINNT eraseme_24244.exe\本机删除成功 05-12-19 12:49 实时监控 C:\WINNT eraseme_14752.exe\本机删除成功 05-12-20 10:25 实时监控 C:\WINNT eraseme_40332.exe\本机删除成功 05-12-20 15:41 实时监控 C:\WINNT eraseme_13725.exe\本机删除成功 05-12-20 18:12 实时监控 C:\WINNT eraseme_74180.exe\本机删除成功 05-12-20 18:36 实时监控 C:\WINNT eraseme_78834.exe\本机删除成功 05-12-20 21:22 实时监控 C:\WINNT eraseme_13348.exe\本机 2005-12-22 17:18:09
小Dei 初生襁褓狮帖子:16 注册: 2005-12-08 来自:	分享到：

JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:	发表于： 2005-12-21 22:08 \| 短消息资料字号：小中大 2楼扫一个HijackThis的LOG吧
JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:

小Dei 初生襁褓狮帖子:16 注册: 2005-12-08 来自:	发表于： 2005-12-21 22:13 \| 只看楼主短消息资料字号：小中大 3楼帮我看看吧！ HijackThis_815汉化版扫描日志 V1.99.1 保存于 22:11:26, 日期 2005-12-21 操作系统： Windows 2000 SP4 (WinNT 5.00.2195) 浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106) 当前运行的进程： C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\PROGRAM FILES\RISING\RAV\Ravmond.exe C:\PROGRAM FILES\RISING\RAV\RavStub.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\Program Files\Rising\Rav\RavService.exe C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\Rising\Rav\RavTray.exe C:\Program Files\Rising\Rav\RavTimer.exe C:\Program Files\Rising\Rav\RavMon.exe D:\Program Files\SkyNet\FireWall\PFW.exe C:\WINNT\system32\ctfmon.exe D:\Program Files\Tencent\qq\QQ.exe D:\Program Files\Tencent\qq\TIMPlatform.exe C:\WINNT\system32\NOTEPAD.EXE C:\Program Files\Maxthon\Maxthon.exe D:\Program Files\hi\HijackThis1991汉化版\HijackThis1991zww.exe R3 - 默认的URLSearchHook丢失。用HijackThis修复 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}? - (no file) O2 - BHO: PREAT IE LightFrame - {43D29D14-460E-4F3A-9037-E60F11EF12F0}? - (no file) O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B}? - (no file) O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5}? - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7}? - (no file) O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910}? - (no file) O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINNT\system32\kakatool.dll O3 - IE工具栏增项: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93}? - (no file) O3 - IE工具栏增项: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3}? - (no file) O3 - IE工具栏增项: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file) O3 - IE工具栏增项: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file) O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon O4 - 启动项HKLM\\Run: [RavTray] C:\Program Files\Rising\Rav\RavTray.exe O4 - 启动项HKLM\\Run: [RavTimer] C:\Program Files\Rising\Rav\RavTimer.exe O4 - 启动项HKLM\\Run: [RavMon] C:\Program Files\Rising\Rav\RavMon.exe -system O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] D:\Program Files\SkyNet\FireWall\PFW.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O8 - IE右键菜单中的新增项目: 使用网际快车下载 - F:\Program Files\FlashGet-v1.71\jc_link.htm O8 - IE右键菜单中的新增项目: 转换为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - IE右键菜单中的新增项目: 转换为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - IE右键菜单中的新增项目: 转换选定的链接为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - IE右键菜单中的新增项目: 转换选定的链接为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - IE右键菜单中的新增项目: 转换选项为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - IE右键菜单中的新增项目: 转换选项为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - IE右键菜单中的新增项目: 转换链接目标为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - IE右键菜单中的新增项目: 转换链接目标为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - 浏览器额外的按钮: 南方证券交易客户端 - {902E3F13-F3C2-11D3-B8AD-00062950CE21}? - D:\TdxWRemote_NanFang\NfTradeClient.exe O9 - 浏览器额外的按钮: 词霸 - {9A687CA6-D585-4947-9ED9-BE96071F5CD9}? - f:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3}? - F:\PROGRA~1\FLASHG~1.71\flashget.exe O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3}? - F:\PROGRA~1\FLASHG~1.71\flashget.exe O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131714856405 O18 - 列举现有的协议: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - f:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll O20 - AppInit_DLLs: APIHookDll.dll O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - NT 服务: RavService - Unknown owner - C:\Program Files\Rising\Rav\RavService.exe" /service (file missing) O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
小Dei 初生襁褓狮帖子:16 注册: 2005-12-08 来自:

天使消逝的山谷自信弱冠狮帖子:411 注册: 2004-12-01 来自:	发表于： 2005-12-22 00:31 \| 短消息资料字号：小中大 4楼你的瑞星似乎有些功能丢失或者损坏了
天使消逝的山谷自信弱冠狮帖子:411 注册: 2004-12-01 来自:

不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	发表于： 2005-12-22 08:00 \| 短消息资料字号：小中大 5楼修复 R3 - 默认的URLSearchHook丢失。用HijackThis修复 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}? - (no file) O2 - BHO: PREAT IE LightFrame - {43D29D14-460E-4F3A-9037-E60F11EF12F0}? - (no file) O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B}? - (no file) O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5}? - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7}? - (no file) O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910}? - (no file) O3 - IE工具栏增项: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93}? - (no file) O3 - IE工具栏增项: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3}? - (no file) O3 - IE工具栏增项: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file) O3 - IE工具栏增项: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file) 日志没有什么问题建议进入安全模式下断网查杀
不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-12-22 09:09 \| 短消息资料字号：小中大 6楼【回复“小Dei”的帖子】 1、结束病毒进程csrs.exe。这个病毒有进程守护功能。请用IceSword“禁止进程创建”。然后，在结束csrs.exe。 2、删除C:\windows\文件夹中的病毒文件csrs.exe 3、清理注册表：展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 删除：wservtime 至于涉及WINDOWS安全中心被关闭，可以在系统服务中再打开。涉及windows防火墙、windows update被关闭的那些注册表项较多，一一更改比较麻烦。进入WINDOWS安全中心，开启这些项目即可。 4、运行WINDOWS UPDATE，检查中毒的电脑是否缺少补丁。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

小Dei 初生襁褓狮帖子:16 注册: 2005-12-08 来自:	发表于： 2005-12-22 13:18 \| 只看楼主短消息资料字号：小中大 7楼我的进程只有csrss.exe是删除这个吗？还有在注册表下我按照斑竹的指示，可找不到wservtime！
小Dei 初生襁褓狮帖子:16 注册: 2005-12-08 来自:

小Dei 初生襁褓狮帖子:16 注册: 2005-12-08 来自:	发表于： 2005-12-22 13:24 \| 只看楼主短消息资料字号：小中大 8楼我在安全模式下查了几次了，都查不出来，只能不定期的时候瑞星的实时监控会告诉我中了这个毒，然后删除掉eraseme_85022(这样变化的五位数）的程序。我想是不是中了驱动木马，日志里根本就看不到它隐藏在哪里?快郁闷死了！
小Dei 初生襁褓狮帖子:16 注册: 2005-12-08 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-12-22 13:59 \| 短消息资料字号：小中大 9楼【回复“小Dei”的帖子】请找到一个eraseme_*****.exe文件，打包，发到：baohelin@yahoo.com.cn。上次，那个网友就是提供了一个这样的样本，我帮他搞定的。这是个bot后门。要检查系统补丁是否打全，共享是否关闭，登陆系统的口令是否复杂....。如果这些安全防护措施不到位，即使暂时杀掉它，很容易再次感染。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

小Dei 初生襁褓狮帖子:16 注册: 2005-12-08 来自:	发表于： 2005-12-22 16:48 \| 只看楼主短消息资料字号：小中大 10楼每次都给瑞星给杀了，我怎么才能找到这个文件呢？难道把瑞星关掉吗？
小Dei 初生襁褓狮帖子:16 注册: 2005-12-08 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT