【求助】如何解决system用户自动启动iexplore.exe?
开机时发现多了个IEXPLORE.EXE进程,而且是system用户,这个教程,一般都判断为病毒,但用最新的杀毒库都查不到,查找msconfig里面的启动项和注册表里面的run项里面,甚至服务里面都没有, 查看该进程的启动目录为: C:\Program Files\Internet Explorer\IEXPLORE.EXE,在网上查找了很多资料,都不知是哪里设置的启动,没能解决,特求助各位高手,谢谢! 用"金山毒霸的灰鸽子专杀3.6"也没有查杀到。 不要相信杀毒软件。相信icesword,和手。
icesword 2M多,自己搜索吧,不占用论坛资源了^u^ 谢谢楼上的,但用icesword还是没法处理,把C:\Program Files\Internet Explorer\IEXPLORE.EXE删除了,重新开机它又恢复了,还有这个进程。继续求教! C:\Program Files\Internet Explorer\IEXPLORE.EXE如果你没有拼错的话,这个是IE的进程啊。
但是开机自动运行这个比较诡异。 这是IE的进程,但开机自动运行,而且用户名是system就不对了,打开IE后又会有一个本人用户名的进程,后一个才是对的。 用icesword查看启动项、启动服务,查找windows目录下面有没有怪异文件。 如果是病毒的话,90%可能为木马,这种东西启动项不会是iexplorer,而是它运行后loader插入dll到iexplorer当中去了。好好检查下服务。目前大部分木马还是依靠服务启动的。因为注册表的run太明显,容易被发现,搞一个名字很像系统的服务,是常用的手法。
国产木马大部分默认释放目录在windows根目录,检查windows根目录下的exe和dll。看看有没有奇怪的。如果放马的改成sys32目录,就麻烦些了。 给你看一个例子:我自己用的黑洞dll版(运行后插入iexplorer,目的是为了过防火墙):
黑洞的exe版如果把exe名写成svchost.exe,迷惑性很高,而且无法直接远程卸载。
一般的木马手动删除方法:
1.停止可疑进程、以及可疑的挂接dll
2.删除服务项
3.清除exe、dll
4.检查注册表,清除垃圾 谢谢softice616兄弟,等我参悟一下,看能不能解决。谢谢! 试着找了,但以在下的水平找不到奇怪的exe和dll,请xd指教。谢谢! 这个进程可以结束,但重启后又有了。继续等待解决办法。谢谢。 很简单...卸载IE...关闭服务...安全模式..删了他...
重启...开启服务....
在重启..安装IE 7.0
安装MAXTHON 2.04
还有!重装... 我是在出现问题后安装IE7.0的,还是有问题,现卸载了重启仍然有该进程,不过占用内存多了一点。重装对我来说不是好办法。谢谢。 经检查和考虑,不是IE本身的问题,现又重装了IE7.0,情况照旧。 从问题描述看,推测是iexplore.exe被注入了,灰鸽子或者落雪木马的可能性比较大。下面几个措施供参考:
一、再找几个灰鸽子专杀和落雪木马专杀工具,一定到安全模式下查杀。
二、查找可疑模块:
1、冰刃-进程,在右边界面选中iexplore.exe进程,右键选中“模块信息”,查找与iexplore.exe相关联的可疑dll、exe文件。也查查与“WINLOGON.EXE”关联的模块,灰鸽子2004是注入explorer.exe和winlogon.exe进程。
2、这些dll、exe文件一般在%SystemRoot%\system32\目录下,也可以直接到system32和%SystemRoot%\windows目录下,按时间排序,从最近时间的文件中查找可疑文件。或者选中第一个文件,然后按上、下光标,把目录下所有文件都走一边,运气好的话,病毒实时监控程序会自动检测到可疑的文件。
三、几个判断信息:
1、查看Windows目录下是否有Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件。
2、在系统服务里,查看是否有“svchost.exe 应用端程序”服务项目。如有,双击打开,在常规项中,查看其可执行文件路径及名称。找到文件,删除。
四、以上都不得,又不想重装,在安全模式下把ie所在的文件夹改个名字,换其他浏览器。 另外,开始-运行-cmd,netstat -a -b,查看IEXPLORE.EXE是否有连接远程8000端口的连接,如有,灰鸽子确定无疑。 还没搞定?
那再试试 processxp,查看下iexplorer调用了哪个dll: iexplorer调用情况见图 现在应该查找什么启动了这个进程。我不知怎么找,没办法判断,请教。 Posted by SailingStar on 2007-10-4 12:17 http://www.ibmnb.com/images/common/back.gif
从问题描述看,推测是iexplore.exe被注入了,灰鸽子或者落雪木马的可能性比较大。下面几个措施供参考:
一、再找几个灰鸽子专杀和落雪木马专杀工具,一定到安全模式下查杀。
二、查找可疑模块:
1、冰 ...
基本上按兄的去做了,没有能找到,谢谢。 _pk.dll ? lpk.dll模块如图,不知有没有问题。 在以下目录是否存在这些文件:
%ProgramFiles%\Internet Explorer\msvcrt.bak
%ProgramFiles%\Internet Explorer\msvcrt.dll
%ProgramFiles%\Common Files\Relive.dll
%ProgramFiles%\Internet Explorer\msvcrt.ebk(可能存在) 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否有Advapi32? 右边倒数第二个的WinSxS\x86_Microsoft.Wi...加载的是什么? 都没有,倒数第二个我得查查,因我已结束进程,得重新启动才能看。谢谢。 模块 公司名称 创建日期 修改日期 文件描述
C:\WINDOWS\system32\ntdll.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 NT Layer DLL
C:\WINDOWS\system32\kernel32.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 Windows NT BASE API Client DLL
C:\WINDOWS\system32\ADVAPI32.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 Advanced Windows 32 Base API
C:\WINDOWS\system32\RPCRT4.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 Remote Procedure Call Runtime
C:\WINDOWS\system32\GDI32.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 GDI Client DLL
C:\WINDOWS\system32\USER32.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 Windows XP USER API Client DLL
C:\WINDOWS\system32\msvcrt.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 Windows NT CRT DLL
C:\WINDOWS\system32\SHLWAPI.dll Microsoft Corporation 2004-8-17 12:00:00 2006-9-23 12:12:34 Shell Light-weight Utility Library
C:\WINDOWS\system32\SHELL32.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 Windows Shell Common Dll
C:\WINDOWS\system32\ole32.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 Microsoft OLE for Windows
C:\WINDOWS\system32\urlmon.dll Microsoft Corporation 2004-8-17 12:00:00 2006-11-7 21:03:36 OLE32 Extensions for Win32
C:\WINDOWS\system32\OLEAUT32.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 0
C:\WINDOWS\system32\iertutil.dll Microsoft Corporation 2006-10-17 11:57:20 2007-6-27 22:04:48 Run time utility for Internet Explorer
C:\WINDOWS\system32\VERSION.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 Version Checking and File Installation Libraries
C:\WINDOWS\system32\IMM32.DLL Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 Windows XP IMM32 API Client DLL
C:\WINDOWS\system32\LPK.DLL Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 Language Pack
C:\WINDOWS\system32\USP10.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 Uniscribe Unicode script processor
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll Microsoft Corporation 2007-2-3 9:53:26 2006-8-25 23:49:42 User Experience Controls Library
C:\WINDOWS\system32\comctl32.dll Microsoft Corporation 2004-8-17 12:00:00 2004-8-17 12:00:00 Common Controls Library
--------------
超级进程管理器 1.0.1.920 模块列表 (19) 2007-10-4 19:18:42 ie的没看出有什么异常。请LZ再费点事,把winlogon.exe和那5个svchost.exe的进程模块发上来。 没有winlogon.exe进程,随后发svchost.exe进程模块
页:
[1]
2