|
一共有兩套方案
這一套方案來自網(wǎng)絡(luò)
QUOTE
我出現(xiàn)了這樣的問題��,在網(wǎng)上曾經(jīng)見到說是灰鴿子��,但用專門的程序提示沒有找到,手動也沒有找到相應(yīng)的文件���。有一個網(wǎng)頁上說,進程列表中會出現(xiàn)兩個IEXPLORE.EXE��,其中有一個用戶名為SYSTEM的��,我結(jié)束這個進程之后就不會彈出這個框了。不過下次還是會出現(xiàn)��,為什么會是這樣我不明白,希望能給大家作一個參考�����。
曾經(jīng)(很久以前了)�,江民提示在SKYPE的安裝文件內(nèi)找到huigezi病毒����,不過一直沒有什么特別的問題,但是后來出現(xiàn)這個問題后�,用灰鴿子的專殺工具提示說沒有找到,手動也沒有所說的那些文件���。
沒有開IE的情況下,又出現(xiàn)了那樣的對話框�����。打開任務(wù)管理器一看����,果然有一個IEXPLORE.EXE的進程�,用工具查看是在以C:\program files\internet explorer\IEXPLORE.EXE
用戶名是SYSTEM���,內(nèi)存占用為3760
打開IE���,發(fā)現(xiàn)兩者的State,正常的是Ready�����,另一個是Idle�。
請問�����,這到底是怎么回事呢�?是不是IE中病毒了�����?在安全模式下����,KV2005并沒有掃出病毒,手動也找不到*_hook.dll的文件���。
現(xiàn)在我的電腦已經(jīng)正常了(應(yīng)該是這樣)�����,把我的經(jīng)歷跟大家說一說作個參考�����。
用專殺工具說沒有找到服務(wù)端���,手工查找也沒有找到。用hijackthis掃描時發(fā)現(xiàn)有一個服務(wù)項windows internet/server�����,跟C:\WINDOWS\system32\RavExt\winlogo.exe有關(guān)�,一查找��,原來是個灰鴿子�,于是先將這個服務(wù)禁用,在SERVICE的注冊表項下搜索找到了這個文件��,刪除��。
因為開機就運行一個用戶名為IEXPLORE.EXE的程序���,懷疑在C:\Program Files\Internet Explorer下不對勁�����,于是打開這個目錄,將IEXPLORE.EXE改成了小寫的iexplore.exe���,傾刻間在這個目錄下出現(xiàn)了兩個iexplore(不知道是不是我看錯了),后來重啟到安全模式下����,發(fā)現(xiàn)有一個名稱是ieplore,沒有x���,我將其改名再返回正常模式���。在運行一個IE修復工具時(ietools2.6),“進程分析”時提示找不到文件�����。將原來改名的那個改回ieplore.exe���,再運行“進程分析”時����,會彈出“開始于兼容性模式下運行�,……”(我不記得具體信息了,單獨運行ieplore.exe也會出現(xiàn)這個提示)��。于是查找注冊表�,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE這個項下面發(fā)現(xiàn)了ieplore.exe的蹤影,手工將ieplore.exe改成iexplore.exe�,再運行修復工具的“進程分析”時就沒有出現(xiàn)錯誤提示了。
現(xiàn)在開機時����,不會自動運行那個用戶名為SYSTEM的IEXPLORE.EXE進程了。也沒有socket問題了����。
(備注:在我沒有將IEXPLORE.EXE改成小寫時,修復工具的“進程分析”是正常的����,也就是說在那個時候注冊表還是沒有變化的)
我寫得復雜了點,或許改名的那一部分是多余的�����,不過總給大家一個參考�����。被這個問題纏了好多天了。
已經(jīng)照著他的方法解決了,不過沒有那么復雜!只是把C:\WINDOWS\system32\RavExt這個文件夾刪了,并且在SERVICE的注冊表項下刪除了internet這個服務(wù)項,現(xiàn)在開機iexplore.exe不再自動運行了!只是不知道那個RavExt\winlogo.exe具體是什么病毒!?有沒有后遺癥也不清楚!!
這一套方案為原創(chuàng)
[殺毒手記]查殺插入iexplore的Rootkits病毒
tags: kaspersky iexplore iexplore.exe 病毒 rootkit rootkits 卡巴斯基 隱藏 進程 hidden object rejoice4 solution
Problem
卡巴斯基開機后��,主動防御模塊報警
風險軟件 Hidden object C:\Program Files\Internet Explorer\IEXPLORE.EXE�。
卡巴斯基只能報警�����,終止進程����,無法殺滅���。
Logs
用icesword可以看到隱藏的iexplore進程。
刪除新浪點點通����。
用Terminator(終截者)殺毒軟件發(fā)現(xiàn)
#O4
危險 自啟動:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active
Setup\Installed Components\IE7 Uninstall
Stub]-c:\windows\system32\ieudinit.exe
*
數(shù)值名稱為:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed
Components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}
#O4
危險
自啟動:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell
Extensions\Approved\Web反病毒保護]-c:\windows\system32\ssup.dll
70.O02 - 瀏覽器輔助對象(BHO) - SSLive,TENCENT�,
CLSID:{669751ED-D558-49AE-B01A-3B374CC7910E}
相關(guān)文件:C:\WINDOWS\system32\ssup.dll
刪除相應(yīng)的文件和啟動項���,或者用超級兔子和360安全衛(wèi)士進行刪除(包括其他不安全插件)�。
PS:這個軟件機制新穎��,技術(shù)先進�,可以查殺深層病毒,網(wǎng)址:www.��。
重新啟動。
依然存在問題��。
用rising的灰鴿子專殺,沒有發(fā)現(xiàn)病毒��。
用ewido,找到一個adware.generic.
用f-secure blacklight 查殺��,找到隱藏進程,但是具體什么病毒�����,不知道��。
“rejoice4.exe插入到進程iexplore.exe�,任務(wù)管理器中可以見到iexplore.exe“
解決辦法:
1���、用icesword殺掉隱藏的進程iexplore.exe。
2�����、刪除C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice4.exe
3�����、進入注冊表編輯器��,刪除[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice]
也可以用SREng來刪除服務(wù)�。
4��、重新啟動。
PS: 卡巴斯基不是萬能的�。
問題解決?���。?����!
Notes
你電腦中的是后門病毒變種,搞個專殺就可以了!
反Rootkit工具專殺06灰鴿子工具使用方法
利用IceSword,我們可以用IceSword查看是否有iexplore.exe這個進程和灰鴿子檔案
注意:
-這個iexplore.exe,用任務(wù)管理器或Process Explorer都是看不到
-記得先關(guān)閉所以IE視窗才用IceSword看
但這個方法,只可以確定你的系統(tǒng)有很大機會中了惡意軟件,因為PcClient/PcShare以及有一些后門,都會有這個iexplore.exe隱藏進程.
我現(xiàn)在裝的是卡巴斯基6.0
可裝完后開機就阻止什么
可疑: 風險軟件 Hidden object C:\Program Files\Internet Explorer\IEXPLORE.EXE
個人認為可能是因為某木馬附在IEXPLORE���。EXE上所造成的����,要找到木馬真正的所在才可徹底清除�,根據(jù)以上分析,
C:\WINNT\system32\dbhaeeip.dll
C:\WINNT\System32\dbhaeeip.d1l
這兩項最可疑,但是在系統(tǒng)中又找不到這兩個文件!不知從何下手�!
#HP0 警告 隱藏進程: C:\Program Files\Internet Explorer\iexplore.exe
很明顯, 這個IE瀏覽器進程被注入了病毒線程. 引起問題的很可能是以下的服務(wù)DLL
#S0 危險 NT 服務(wù): RpcSs - ServiceDll - C:\WINNT\System32\dbhaeeip.d1l
正常的話, 他是隱藏, 很難查找到的.
你可以用 終截者 中的 安全回歸 功能.
安全回歸 攔截后, 你再找這兩個文件. 就可以了..
hidden object病毒解決方案
...
解決方案
1�����、利用“冰刃”�����、“超級進程管理器”等工具,對啟動項����、iexplore模塊進行檢測
2���、修改注冊表啟動項���,刪除所有可疑或無關(guān)緊要的啟動項,因為病毒很可能利用偽裝啟動
3�����、進入帶命令行的“安全模式”,刪除所有desktop.ini文件(刪除c盤del c:\desktop.ini /f/s/q/a;d盤同上)
4�����、進入安全模式�,用ewido徹底查殺一遍
5�、用卡巴斯基徹底查殺一遍
6、重新啟動計算機,問題解決
Links
常用殺毒工具集和網(wǎng)站
|
