瑞星卡卡安全论坛

你好，瑞星杀毒软件是装在我们公司的主机上，最近每次启动完机器之后的5到10分钟内，瑞星就开始快速而频繁地往外发送邮件监控，就是会在屏幕右边跳出来多个发送邮件监控的小窗口，而且发送得很频繁，导致机器和网络变慢。

我们试过查毒，但是使用瑞星杀毒软件没有查到任何病毒。由于瑞星杀毒软件是装在我们公司的主机上，所以每次开机瑞星都往外发送邮件监控让我们很担心。它所谓的“瑞星正在发送邮件监控”里包含的是什么信息？它为什么要如此频繁快速的发送？

请帮助我们解答和解决这个问题。谢谢。

这个我也想知道？

是一种保护措施
在设置里禁掉就可以了。

这真的没什么问题吗？
就算是保护措施，但是是什么使它频繁发送邮件呢？其他机器上的瑞星并不会如此啊~~~

不排除有木马的可能．
用HijackThis扫描你的系统．发个日志上来看看
HijackThis V1.99.1 完全汉化版下载
http://forum.ikaka.com/download.asp?id=5984255

谢谢楼上的，以下是扫描后的日志

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      8:45:43, 日期 2005-7-18
操作系统：  Windows 2000 SP2 (WinNT 5.00.2195)
浏览器：    Internet Explorer v5.00 SP2 (5.00.2920.0000)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\regsvc.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINNT\system32\r_server.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINNT\System32\internat.exe
C:\Program Files\GWBN\长城宽带带客户登陆软件(简体中文版)\login_040607_cn.exe
C:\WINNT\System32\mdm.exe
D:\系统扫描\HijackThis1991zww.exe

O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)

是 中毒啦
发的是垃圾邮件
你可以 联系我
QQ289039676

C:\WINNT\system32\r_server.exe（远程控制端，所谓的木马）
C:\WINNT\system32\MSTask.exe（网络蠕虫病毒）
O23 - NT 服务: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)（用HijackThis修复这一项！）

建议安全模式下搜索删除以下文件
r_server.exe
MSTask.exe
关于（W32/Opaserv.worm.n）网络蠕虫病毒的资料．楼主可以参考这个网页http://www.0754.org/club/printpage.asp?BoardID=5&ID=10077

我眼睁睁地看着刚升完级的瑞星扫过r_server.exe和MSTask.exe却没有半点反应~~~~

这~~~~~......

建议手动删除．如删不了可以借助killbox之类的小工具强行删
另：你的windows2000要及时打最新补丁．
补充：关于r_server.exe还有以下一些文件要找到并删除
AdmDll.dll、raddrv.dll
yunxing.vbs
注册表也要搜索相关文件删了

关于mstask.exe这个东西，win2k的进程里原本就有这个

我看了楼上给的网络蠕虫病毒的网页，似乎mstask.exe感染的是95，98和me，我怀疑我们公司主机win2k server系统上的mstask.exe并不是病毒....还不敢删，请赐教

事关重大,请三思.
你可以把帖子转到"反浏览器劫持"论坛里,让大家再重新帮你定夺.

我以经把你的帖子转到反浏览器劫持论坛.
http://forum.ikaka.com/topic.asp?board=67&artid=6791802
你现在的情况,我首先建议你为你的服务器打全补丁(打上WIN2000SP4,IE6,以及所有安全更新)如果有条件,可以重启按F8,进入"带网络的安全模式"下打补丁.
请关注在反浏览器劫持论坛的帖子.
祝你们好运!~

我今天已经用windows update给主机的win2k server family系统升级了所有补丁，而且之前也已经清除了r_server.exe远端控制病毒，可是开机后的5分钟内，瑞星的“邮件发送监控”仍然频繁出现。在这种情况下，我又用HijackThis_zww扫描了一下系统，如下，请帮忙：

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 14:58:10, 日期 2005-7-19
操作系统： Windows 2000 SP4 (WinNT 5.00.2195)
浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\regsvc.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\PROGRA~1\SkyNet\Firewall\pfw.exe
C:\WINNT\system32\internat.exe
C:\Program Files\GWBN\长城宽带带客户登陆软件(简体中文版)\login_040607_cn.exe
D:\系统扫描\HijackThis1991zww.exe

O2 - BHO: WebMiscItem Class - {3CD4296F-6CC3-11D9-B888-000C299AA719} - C:\WINNT\system32\WebMisc.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SkyNet\Firewall\pfw.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe