C:\WINDOWS\eraseme_57610.exe 怀疑为灰鸽子木马 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 C:\WINDOWS\eraseme_57610.exe 怀疑为灰鸽子木马

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

C:\WINDOWS\eraseme_57610.exe 怀疑为灰鸽子木马

lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:	发表于： 2005-11-26 19:46 \| 只看楼主短消息资料字号：小中大 1楼 C:\WINDOWS\eraseme_57610.exe 怀疑为灰鸽子木马新建文件: C:\WINDOWS\eraseme_57610.exe 2005-11-26 17:42:21 C:\WINDOWS\eraseme_57610.exe 怀疑为灰鸽子木马. 扫描了 27个进程，扫描结束. 没有发现木马，系统安全! 木马克星老是出这个提示... 文件出来就被瑞星杀掉了。但是机器就是在那什么都不做有时也出现这种情况请指示 2005-12-01 18:10:56
lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:	分享到：

lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:	发表于： 2005-11-26 19:47 \| 只看楼主短消息资料字号：小中大 2楼 Logfile of HijackThis v1.99.1 Scan saved at 19:49:12, on 2005-11-26 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE D:\PROGRA~1\RISING\RAV\RAVMON.EXE D:\Program Files\Iparmor\Iparmor.exe C:\WINDOWS\VM_STI.EXE C:\WINDOWS\system32\ctfmon.exe D:\Program Files\绿鹰PC万能精灵\adam.exe D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\Program Files\Tencent\QQ2005\TIMPlatform.exe D:\PROGRAM FILES\RISING\RAV\Ravmond.exe C:\WINDOWS\system32\svchost.exe D:\PROGRAM FILES\RISING\RAV\RavStub.exe C:\Program Files\Tencent\QQ2005\QQ.exe C:\Program Files\Internet Explorer\iexplore.exe d:\Program Files\Thunder Network\Thunder\Thunder.exe D:\pp\248783200522382732\HijackThis.exe R3 - URLSearchHook: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file) O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\QQ2005\QQIEHelper.dll (file missing) O4 - HKLM\..\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - HKLM\..\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - HKLM\..\Run: [Super Rabbit SRRestore] D:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave O4 - HKLM\..\Run: [iparmor] D:\Program Files\Iparmor\Iparmor.exe mini O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ2005\QQ.exe O4 - Global Startup: 绿鹰PC万能精灵.lnk = ? O8 - Extra context menu item: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\geturl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\getallurl.htm O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ2005\AddToNetDisk.htm O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ2005\AddPanel.htm O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ2005\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ2005\SendMMS.htm O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{9F2C8744-0668-4DB1-B8CF-F023DDC51048}: NameServer = 202.97.224.69 202.97.227.138 O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: ipp - (no CLSID) - (no file) O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll O18 - Protocol: msdaipp - (no CLSID) - (no file) O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll O20 - AppInit_DLLs: APIHookDll.dll
lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:

lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:	发表于： 2005-11-26 19:56 \| 只看楼主短消息资料字号：小中大 3楼补充句。。新建文件: C:\WINDOWS\eraseme_xxxxx.exe 2005-11-26 17:42:21 eraseme_后面的数字经常变化的
lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:

夏天去跳海初生襁褓狮帖子:142 注册: 2004-07-06 来自:	发表于： 2005-11-26 20:00 \| 短消息资料字号：小中大 4楼连O23项都没有~楼主的日志好干净哦~ 照日志看你说的那个应该不是鸽子,不过也不像好东西~ 要杀的话可以照下边两步：先用任务管理器关闭相关进程~ 开始/运行/regedit 进入注册表编辑器进入HKEY_LOCAL_MACHINE\SOFTWARE目录，然后单击编辑/查找 eraseme_57610.exe,找出确认后并删相关项;多搜索几次，防有漏网（注意不要删错和它名字差不多的项，不能肯定的话建议不要乱删,如果不敢肯定又想删的话建议删除前先备份注册表）重起计算机然后到C:\WINDOWS目录下搜索eraseme（显示所有文件，包括系统的隐藏文件再搜索，找到和eraseme_57610.exe相关的删除
夏天去跳海初生襁褓狮帖子:142 注册: 2004-07-06 来自:

建能横据古稀狮帖子:5755 注册: 2005-04-01 来自:	发表于： 2005-11-26 20:02 \| 短消息资料字号：小中大 5楼 R3 - URLSearchHook: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file) O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll 修复这两项。你的日志不完整，扫个完整的贴上来
建能横据古稀狮帖子:5755 注册: 2005-04-01 来自:

lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:	发表于： 2005-11-26 20:02 \| 只看楼主短消息资料字号：小中大 6楼回3楼的。现在的问题是查找不到。。但是它还老弹出。。每次弹出的时候就被瑞星给卡了
lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:

夏天去跳海初生襁褓狮帖子:142 注册: 2004-07-06 来自:	发表于： 2005-11-26 20:02 \| 短消息资料字号：小中大 7楼 PS：运行Hijackthis，扫描结束后在下列选项前打上勾，然后选修复 O20 - AppInit_DLLs: APIHookDll.dll 一头木马用上边的方法找找它删除另外修复一下 R3 - URLSearchHook: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file) (PS：建议修复有(file missing)和(no file)的相关项）
夏天去跳海初生襁褓狮帖子:142 注册: 2004-07-06 来自:

夏天去跳海初生襁褓狮帖子:142 注册: 2004-07-06 来自:	发表于： 2005-11-26 20:04 \| 短消息资料字号：小中大 8楼你的问题似乎出在APIHookDll.dll这东西上边了
夏天去跳海初生襁褓狮帖子:142 注册: 2004-07-06 来自:

lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:	发表于： 2005-11-26 20:06 \| 只看楼主短消息资料字号：小中大 9楼 apphookdll这个好象是游戏解码的dll文件 App可以转换内码的好象。。那就修了它看看吧
lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:

建能横据古稀狮帖子:5755 注册: 2005-04-01 来自:	发表于： 2005-11-26 20:06 \| 短消息资料字号：小中大 10楼 O20 - AppInit_DLLs: APIHookDll.dll 是木马克星的，正常的东西！
建能横据古稀狮帖子:5755 注册: 2005-04-01 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT