一共有兩套方案

這一套方案來自網(wǎng)絡(luò)

QUOTE

我出現(xiàn)了這樣的問題，在網(wǎng)上曾經(jīng)見到說是灰鴿子，但用專門的程序提示沒有找到，手動(dòng)也沒有找到相應(yīng)的文件。有一個(gè)網(wǎng)頁(yè)上說，進(jìn)程列表中會(huì)出現(xiàn)兩個(gè)IEXPLORE.EXE，其中有一個(gè)用戶名為SYSTEM的，我結(jié)束這個(gè)進(jìn)程之后就不會(huì)彈出這個(gè)框了。不過下次還是會(huì)出現(xiàn)，為什么會(huì)是這樣我不明白，希望能給大家作一個(gè)參考。
曾經(jīng)（很久以前了），江民提示在SKYPE的安裝文件內(nèi)找到huigezi病毒，不過一直沒有什么特別的問題，但是后來出現(xiàn)這個(gè)問題后，用灰鴿子的專殺工具提示說沒有找到，手動(dòng)也沒有所說的那些文件。
沒有開IE的情況下，又出現(xiàn)了那樣的對(duì)話框。打開任務(wù)管理器一看，果然有一個(gè)IEXPLORE.EXE的進(jìn)程，用工具查看是在以C:\program files\internet explorer\IEXPLORE.EXE
用戶名是SYSTEM，內(nèi)存占用為3760
打開IE，發(fā)現(xiàn)兩者的State,正常的是Ready，另一個(gè)是Idle。
請(qǐng)問，這到底是怎么回事呢？是不是IE中病毒了？在安全模式下，KV2005并沒有掃出病毒，手動(dòng)也找不到*_hook.dll的文件。
現(xiàn)在我的電腦已經(jīng)正常了（應(yīng)該是這樣），把我的經(jīng)歷跟大家說一說作個(gè)參考。
用專殺工具說沒有找到服務(wù)端，手工查找也沒有找到。用hijackthis掃描時(shí)發(fā)現(xiàn)有一個(gè)服務(wù)項(xiàng)windows internet/server，跟C:\WINDOWS\system32\RavExt\winlogo.exe有關(guān)，一查找，原來是個(gè)灰鴿子，于是先將這個(gè)服務(wù)禁用，在SERVICE的注冊(cè)表項(xiàng)下搜索找到了這個(gè)文件，刪除。
因?yàn)殚_機(jī)就運(yùn)行一個(gè)用戶名為IEXPLORE.EXE的程序，懷疑在C:\Program Files\Internet Explorer下不對(duì)勁，于是打開這個(gè)目錄，將IEXPLORE.EXE改成了小寫的iexplore.exe，傾刻間在這個(gè)目錄下出現(xiàn)了兩個(gè)iexplore（不知道是不是我看錯(cuò)了），后來重啟到安全模式下，發(fā)現(xiàn)有一個(gè)名稱是ieplore，沒有x，我將其改名再返回正常模式。在運(yùn)行一個(gè)IE修復(fù)工具時(shí)（ietools2.6），“進(jìn)程分析”時(shí)提示找不到文件。將原來改名的那個(gè)改回ieplore.exe，再運(yùn)行“進(jìn)程分析”時(shí)，會(huì)彈出“開始于兼容性模式下運(yùn)行，……”（我不記得具體信息了，單獨(dú)運(yùn)行ieplore.exe也會(huì)出現(xiàn)這個(gè)提示）。于是查找注冊(cè)表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE這個(gè)項(xiàng)下面發(fā)現(xiàn)了ieplore.exe的蹤影，手工將ieplore.exe改成iexplore.exe，再運(yùn)行修復(fù)工具的“進(jìn)程分析”時(shí)就沒有出現(xiàn)錯(cuò)誤提示了。
現(xiàn)在開機(jī)時(shí)，不會(huì)自動(dòng)運(yùn)行那個(gè)用戶名為SYSTEM的IEXPLORE.EXE進(jìn)程了。也沒有socket問題了。
（備注：在我沒有將IEXPLORE.EXE改成小寫時(shí)，修復(fù)工具的“進(jìn)程分析”是正常的，也就是說在那個(gè)時(shí)候注冊(cè)表還是沒有變化的）
我寫得復(fù)雜了點(diǎn)，或許改名的那一部分是多余的，不過總給大家一個(gè)參考。被這個(gè)問題纏了好多天了。

已經(jīng)照著他的方法解決了,不過沒有那么復(fù)雜!只是把C:\WINDOWS\system32\RavExt這個(gè)文件夾刪了,并且在SERVICE的注冊(cè)表項(xiàng)下刪除了internet這個(gè)服務(wù)項(xiàng),現(xiàn)在開機(jī)iexplore.exe不再自動(dòng)運(yùn)行了!只是不知道那個(gè)RavExt\winlogo.exe具體是什么病毒!?有沒有后遺癥也不清楚!!

這一套方案為原創(chuàng)

[殺毒手記]查殺插入iexplore的Rootkits病毒

tags: kaspersky iexplore iexplore.exe 病毒 rootkit rootkits 卡巴斯基隱藏進(jìn)程 hidden object rejoice4 solution

Problem

卡巴斯基開機(jī)后，主動(dòng)防御模塊報(bào)警

風(fēng)險(xiǎn)軟件 Hidden object C:\Program Files\Internet Explorer\IEXPLORE.EXE。

卡巴斯基只能報(bào)警，終止進(jìn)程，無法殺滅。

Logs

用icesword可以看到隱藏的iexplore進(jìn)程。

刪除新浪點(diǎn)點(diǎn)通。

用Terminator（終截者）殺毒軟件發(fā)現(xiàn)

#O4 危險(xiǎn) 自啟動(dòng):[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\IE7 UninstallStub]-c:\windows\system32\ieudinit.exe
*數(shù)值名稱為：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\InstalledComponents\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}

#O4 危險(xiǎn) 自啟動(dòng):[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved\Web反病毒保護(hù)]-c:\windows\system32\ssup.dll

70.O02 - 瀏覽器輔助對(duì)象(BHO) - SSLive，TENCENT，
CLSID：{669751ED-D558-49AE-B01A-3B374CC7910E}
相關(guān)文件：C:\WINDOWS\system32\ssup.dll

刪除相應(yīng)的文件和啟動(dòng)項(xiàng)，或者用超級(jí)兔子和360安全衛(wèi)士進(jìn)行刪除（包括其他不安全插件）。

PS:這個(gè)軟件機(jī)制新穎，技術(shù)先進(jìn)，可以查殺深層病毒,網(wǎng)址：www.s-sos.net。

重新啟動(dòng)。

依然存在問題。

用rising的灰鴿子專殺，沒有發(fā)現(xiàn)病毒。

用ewido，找到一個(gè)adware.generic.

用f-secure blacklight 查殺，找到隱藏進(jìn)程，但是具體什么病毒，不知道。

下載ewido最新版本（AVG ANTI-SPYWARE），http://www.ewido.net/en/download/,升級(jí)到最新版。找到一些cookie上的風(fēng)險(xiǎn)。

查來查去，用SREng找到一個(gè)rejoice4，參考http://www.81safe.org/Article/show.asp?id=100，用如下方法殺滅。

“rejoice4.exe插入到進(jìn)程iexplore.exe，任務(wù)管理器中可以見到iexplore.exe“
解決辦法：
1、用icesword殺掉隱藏的進(jìn)程iexplore.exe。
2、刪除C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice4.exe
3、進(jìn)入注冊(cè)表編輯器，刪除[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice]
也可以用SREng來刪除服務(wù)。
4、重新啟動(dòng)。

PS: 卡巴斯基不是萬能的。

問題解決?。?！

Notes

http://zhidao.baidu.com/question/12251731.html

你電腦中的是后門病毒變種，搞個(gè)專殺就可以了！
http://it.rising.com.cn/service/technology/RS_LovGate_download.htm 這里去試試吧

反Rootkit工具專殺06灰鴿子工具使用方法

http://bbs.greendown.cn/archiver/?tid-11299.html

利用IceSword,我們可以用IceSword查看是否有iexplore.exe這個(gè)進(jìn)程和灰鴿子檔案
注意:
-這個(gè)iexplore.exe,用任務(wù)管理器或Process Explorer都是看不到
-記得先關(guān)閉所以IE視窗才用IceSword看

但這個(gè)方法,只可以確定你的系統(tǒng)有很大機(jī)會(huì)中了惡意軟件,因?yàn)镻cClient/PcShare以及有一些后門,都會(huì)有這個(gè)iexplore.exe隱藏進(jìn)程.

http://post.baidu.com/f?kz=124526346

我現(xiàn)在裝的是卡巴斯基6.0
可裝完后開機(jī)就阻止什么
可疑: 風(fēng)險(xiǎn)軟件 Hidden object C:\Program Files\Internet Explorer\IEXPLORE.EXE

http://bbs.cnns.net/viewthread.php?tid=18441

個(gè)人認(rèn)為可能是因?yàn)槟衬抉R附在IEXPLORE。EXE上所造成的，要找到木馬真正的所在才可徹底清除，根據(jù)以上分析，

C:\WINNT\system32\dbhaeeip.dll

C:\WINNT\System32\dbhaeeip.d1l
這兩項(xiàng)最可疑，但是在系統(tǒng)中又找不到這兩個(gè)文件！不知從何下手！

#HP0 警告隱藏進(jìn)程: C:\Program Files\Internet Explorer\iexplore.exe
很明顯, 這個(gè)IE瀏覽器進(jìn)程被注入了病毒線程. 引起問題的很可能是以下的服務(wù)DLL

#S0 危險(xiǎn) NT 服務(wù): RpcSs - ServiceDll - C:\WINNT\System32\dbhaeeip.d1l

正常的話, 他是隱藏, 很難查找到的.

你可以用終截者中的安全回歸功能.

安全回歸攔截后, 你再找這兩個(gè)文件. 就可以了..

hidden object病毒解決方案

http://hi.baidu.com/nayimian/blog/item/386ca7fb2a0a3b224f4aead0.html

...
解決方案

  1、利用“冰刃”、“超級(jí)進(jìn)程管理器”等工具，對(duì)啟動(dòng)項(xiàng)、iexplore模塊進(jìn)行檢測(cè)
  2、修改注冊(cè)表啟動(dòng)項(xiàng)，刪除所有可疑或無關(guān)緊要的啟動(dòng)項(xiàng)，因?yàn)椴《竞芸赡芾脗窝b啟動(dòng)
  3、進(jìn)入帶命令行的“安全模式”，刪除所有desktop.ini文件（刪除c盤del c:\desktop.ini /f/s/q/a;d盤同上）
  4、進(jìn)入安全模式，用ewido徹底查殺一遍
  5、用卡巴斯基徹底查殺一遍
  6、重新啟動(dòng)計(jì)算機(jī)，問題解決

Links

常用殺毒工具集和網(wǎng)站

http://bbs.mumayi.net/viewthread.php?tid=638844&extra=page%3D1

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。

九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

[殺毒手記]查殺插入iexplore的Rootkits病毒

Problem

Logs

Notes

Links