卡巴斯基技术论坛 » 卡巴交流讨论 » 关于进程 IEXPLORE.exe的问题

肯德机机 发表于 2008-8-14 21:44

关于进程 IEXPLORE.exe的问题

<DIV class=t_msgfont id=postmessage_2768995>我一直在用卡巴，可是不知道什么时候中了个 IEXPLORE.exe病毒，一点办法也没有 AVG也杀不出，网上好像也没有什么好的方法 求助啊 快绝望了 用进程查看软件的话 根本看不出这个进程的。。。晕了 哎 谁来帮帮我</DIV>

肯德机机 发表于 2008-8-14 22:16

俄。。。。有那个高手来帮帮我把:@3#

leegood 发表于 2008-8-14 23:02

试试这个能不能解决：iexplore.exe进程－－病毒 pO?\ e
系统进程－－伪装的病毒iexplore.exe
0\:~9d4R&t{^r4m Trojan.PowerSpider.ac破坏方法：密码解霸V8.10。又称“密码结巴”
,T3u.B2@%d:]0Y 偷用户各种密码，包含：游戏密码、局域网密码、腾讯QQ账号和密码、POP3密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广，对广大互联网用户的潜在威胁也巨大。 w%?q}"K;vO
现象： 1M5J)k3g-\R"F7f1T1c
1.系统进程中有iexplore.exe运行，注意，是小写字母
WGc9Dje 2.搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹，而是WINDOWS32文件夹。
#J&} [ d#LO8Y#fh 解决办法： kUW-\9[q@X+u
1.到C:\\WINDOWS\\system32下找到iexplore.exe和psinthk.dll完全删除之。
8Qkn"F"a 2.到注册表中，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion ?%}{0RMF U8F"a
\\Run“mssysint”=iexplore.exe,删除其键值

ngc0717 发表于 2008-8-15 00:28

楼主怎么知道是EXPLORER.EXE病毒..........分析报告上传个把

woodheart 发表于 2008-8-15 05:07

:@5# 晕，我也不太懂，要不下个360安全卫士试试看，好像有ie强制修护功能

肯德机机 发表于 2008-8-15 22:30

360没用的  垃圾一个

肯德机机 发表于 2008-8-15 22:34

<P>[quote]原帖由 <I>leegood</I> 于 2008-8-14 23:02 发表 <A href="http://kpchina.net/bbs/redirect.php?goto=findpost&amp;pid=1168685&amp;ptid=84541" target=_blank><IMG alt="" src="http://kpchina.net/bbs/images/common/back.gif" border=0></A> 试试这个能不能解决：iexplore.exe进程－－病毒 系统进程－－伪装的病毒iexplore.exe Trojan.PowerSpider.ac破坏方法：密码解霸V8.10。又称“密码结巴” 偷用户各种密码，包含：游戏密码、局域网密码、腾讯QQ账 ... [/quote]</P>e a0n(y DC&h
<P>这个病毒在哪里不一定的 上次在网上看到一篇帖子说是 win_system.com,但是我就找不到，iexplore.exe Trojan.PowerSpider.ac这两个我也找不到。。。。妈的 太毒了 这个病毒 </P>

zhubo393 发表于 2008-8-15 22:43

安装kis2009，升级病毒库，全盘杀毒

leegood 发表于 2008-8-16 00:39

对了，楼主既然看不到这个进程是怎么知道中了此病毒的呢:@1#

肯德机机 发表于 2008-8-16 18:45

只有任务管理器了看得到，就是在没有运行IE的时候 还有这个进程 而且都是大写的 用其他软件看不到这个进程的  太妖了 妈的

zhubo393 发表于 2008-8-16 21:30

全盘杀毒就能解决

chenmo2003 发表于 2008-8-16 23:01

回复 7楼 肯德机机 的帖子

哈哈，各抒己见啊，你可以用一些比较好的软件仔细检测下，然后用卡巴，瑞星什么的慢慢杀

xingym 发表于 2008-8-17 03:32

<P>[quote]原帖由 <I>肯德机机</I> 于 2008-8-15 22:34 发表 <A href="http://bbs.kpchina.net/redirect.php?goto=findpost&amp;pid=1172259&amp;ptid=84541" target=_blank><IMG alt="" src="http://bbs.kpchina.net/images/common/back.gif" border=0></A> 这个病毒在哪里不一定的 上次在网上看到一篇帖子说是 win_system.com,但是我就找不到，iexplore.exe Trojan.PowerSpider.ac这两个我也找不到。。。。妈的 太毒了 这个病毒 [/quote]</P>
s`:Pm4I <P>&nbsp;</P>
v&X&H gS.`Ro <P>&nbsp;&nbsp;&nbsp; 首先在电脑启动进入桌面的时候,在任何防火墙或者杀毒软件还没有启动的时候.吊出任务管理器,不一会就看到这个进程 ,（应是win_system.exe)C盘搜索这个exe，看在那个文件夹里，文件夹里有个flash文件可以看到win_system.exe，删除它。<FONT color=red>win-------也可是其他么明奇妙的进程如abc.exe，总之搜索不明进程</FONT>。</P>:]Zv,F
uC)y/QL
<P><FONT color=black></FONT>&nbsp;</P>
|6k#k[/kF <P>&nbsp;&nbsp;<FONT color=black> 该IEXPLORE.EXE的进程的用户名为“SYSTEM。真正的IEXPLORE进程的用户名应该是你设置的“管理员”的名字。</FONT><FONT color=darkred>先判是否是病毒</FONT></P>
4t2]A(a9}"a
{7@1hc4D/c <P><FONT color=black></FONT>&nbsp;</P>i0S cJ/k+n:cA
<P>&nbsp; 先有这个win_system.exe进程然后IEXPLORE.EXE才会自动运行，加载完所有程序后win--消失，</P>A W S8e_/_8hf^
<P>&nbsp;&nbsp;&nbsp; </P>
%B;U\k\#e:V1M <P>对一下截图</P>Z"d b*E]qp^
<P>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </P>m2tcP,e:Y
<P>任何防火墙和杀软没启动时，调出的管理器</P>1dU'qd"[o.CX`
<P>&nbsp;</P>
| l"\"N`,N3qC%@ <P>&nbsp;</P>
~&h4z;QC)E.mcp <P>&nbsp;</P>
z1SBgq)tYy <P>&nbsp;&nbsp;&nbsp; </P>
;@QTg|p,n <P>&nbsp;&nbsp; [attach]53797[/attach]</P>
8GI#\:E%sJ <P>&nbsp;</P> gv3pmt$bd,\$n
<P>程序加载后</P>%A]7ME_ X-hA)\t
<P>&nbsp;</P>
2e HW_ Qj <P>&nbsp;</P>
ZB1s7M4X'T2[
{ <P>[attach]53798[/attach]</P>Y@X4NX&R,R N-d
<P>&nbsp;</P>
|r}AgFK <P>查找</P>4uK[.@(c
<P>&nbsp;</P>A)h)g!Zk'z0b
<P>[attach]53799[/attach]</P>
,TF
[dlJ'P7n <P>&nbsp;</P>
j0vw^O3Y2k <P>删除后的管理器</P>'w8JwP?m4U g9j
<P>&nbsp;</P>
cK-yB
{kTw"wf'a <P>&nbsp;</P>aI4Q~7_'\L:J
<P>&nbsp;</P>*f%Ij,S/MS
<P>[attach]53800[/attach]&nbsp;</P>U%\ \6tn4W,pbC9g
<P>&nbsp;</P>
0Q:sf6y~qw`"A,Z <P>不行只好全格。</P>:f%k?6_9v9H9^i
<P>&nbsp;</P>+V(p%]EA7`{O
<P>&nbsp;</P> Q\,jZ W~.q2w

EU'q{!i8U(d [[i] 本帖最后由 xingym 于 2008-8-17 12:02 编辑 [/i]]

肯德机机 发表于 2008-8-17 10:14

<P>[quote]原帖由 <I>xingym</I> 于 2008-8-17 03:32 发表 <A href="http://kpchina.net/bbs/redirect.php?goto=findpost&amp;pid=1177448&amp;ptid=84541" target=_blank><IMG alt="" src="http://kpchina.net/bbs/images/common/back.gif" border=0></A> &nbsp; &nbsp;&nbsp;&nbsp; 首先在电脑启动进入桌面的时候,在任何防火墙或者杀毒软件还没有启动的时候.吊出任务管理器,不一会就看到这个进程 ,（应是win_system.exe)C盘搜索这个exe，看在那个文件夹里，文件夹里有 ... [/quote]</P>)}:HYf(hx%U \.N;v
<P>&nbsp;</P>
*G6ET'jPcU <P>这个没用的 我就没找到这个文件。。。。。估计每次中毒 感染的文件都不一样的吧。。。狗日的病毒</P>"T(a.Zy]v
<P>刚刚又死机了，莫名其妙的多出两个IEXPLORE.EXE的进程&nbsp; CPU占用率一点也不高，但是就死机了。。。</P>
MIw q6? d+['~l
c <P>而且网上中了这个病毒的也不在少数，哎。。。。咋就没人出一个社么专杀的呢？</P>W ^S~2Dy ?
<P>下面的截图就是这个进程，当时我完全没有启动IE的说。。。</P>
7A'fx3j9a6M6O $e_7M3_;E'FZu
[[i] 本帖最后由 肯德机机 于 2008-8-17 10:23 编辑 [/i]]

肯德机机 发表于 2008-8-17 10:16

<P>[quote]原帖由 <I>zhubo393</I> 于 2008-8-16 21:30 发表 <A href="http://kpchina.net/bbs/redirect.php?goto=findpost&amp;pid=1175185&amp;ptid=84541" target=_blank><IMG alt="" src="http://kpchina.net/bbs/images/common/back.gif" border=0></A> 全盘杀毒就能解决 [/quote]</P>%YX.qa:{J
H
<P>太天真了。。。</P> x5M%n C*OOW4Yd;AS"a
<P>我用KIS AVG 360统统杀过</P>
)]M-ZI$}+H <P>一点反应也没有的</P>

肯德机机 发表于 2008-8-17 10:17

<P>[quote]原帖由 <I>leegood</I> 于 2008-8-14 23:02 发表 <A href="http://kpchina.net/bbs/redirect.php?goto=findpost&amp;pid=1168685&amp;ptid=84541" target=_blank><IMG alt="" src="http://kpchina.net/bbs/images/common/back.gif" border=0></A> 试试这个能不能解决：iexplore.exe进程－－病毒 系统进程－－伪装的病毒iexplore.exe Trojan.PowerSpider.ac破坏方法：密码解霸V8.10。又称“密码结巴” 偷用户各种密码，包含：游戏密码、局域网密码、腾讯QQ账 ... [/quote]</P>$`im4AN$\ v
<P>这个我也试过了，没有找到 这个文件。。。。。</P>

leegood 发表于 2008-8-17 18:51

果然很妖！实在不行就艰难的备份重要文件后重装吧，虽然很痛苦。。。我曾经有一个月装三次系统的经历，什么都得重弄:@3# 楼主，同情你

肯德机机 发表于 2008-8-17 19:10

哎 实在没办法 只能这样了。。。。但是就怕装好以后又中:@7#

baixiku 发表于 2008-8-17 20:30

<P>　　　我也碰到过这病毒，不过和楼上的所讲的不一样，它的运行进程所示是在ＩＥ文件夹，暴发时，该进程系统内存越占越大，系统变慢。卡巴提示木马并且杀过毒后，只要运行ＩＥ就会出现两个ＩＥ进程，运行ＩＥ核心的浏览器也会运它。最后，想想反正自己不常用ＩＥ，将ＩＥ文件夹连同里面的文件全部删除，问题才解决！</P>
ti%iO{ <P>&nbsp;</P>;P,O4](ra#} C Ki

,zF,r*[Um5t bc} [[i] 本帖最后由 baixiku 于 2008-8-17 20:40 编辑 [/i]]

肯德机机 发表于 2008-8-17 20:54

就是IE感染了这个病毒吗？那重装IE能行吗？还有IE这个文件夹是删不掉的 我试过的 系统不让删

zhubo393 发表于 2008-8-17 21:14

<P>[quote]原帖由 <I>肯德机机</I> 于 2008-8-17 20:54 发表 <A href="http://bbs.kpchina.net/redirect.php?goto=findpost&amp;pid=1181198&amp;ptid=84541" target=_blank><IMG alt="" src="http://bbs.kpchina.net/images/common/back.gif" border=0></A> 就是IE感染了这个病毒吗？那重装IE能行吗？还有IE这个文件夹是删不掉的 我试过的 系统不让删 [/quote]</P>#BEtZ{
<P>升级到IE7或者到IE8，可以修复</P>
3M'Y:^|&J7{ m <P>&nbsp;</P>+}"`A|P }uhS
<P>系统进程－－伪装的病毒 iexplore.exe <BR>Trojan.PowerSpider.ac 破坏方法：密码解霸V8.10。又称“密码结巴”。偷用户各种密码，包含：游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广，对广大互联网用户的潜在威胁也巨大。 <BR>现象： <BR>1、系统进程中有iexplore.exe运行，注意，是小写字母； <BR><BR>2、搜索该程序iexplore.exe，不是位于C盘下的PROGRAMME文件夹，而是WINDOWS32文件夹。 <BR><BR>解决办法： <BR><BR>1、到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。 <BR><BR>2、到注册表中，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion \\Run “mssysint”= iexplore.exe，删除其键值。 <BR><BR>1 使用卡巴斯基进行杀毒</P>8Pa}|.?(nA)c
A
<P>&nbsp;</P>
RKKC(g E
MN <P>分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭 【如果提示找不到，请忽略该提示】<BR>C:\WINDOWS\system32\twunk32.exe<BR>C:\WINDOWS\system32\ctfnom.exe <BR>C:\WINDOWS\system32\windhcp.ocx<BR>以下的操作要求在安全模式下进行。<BR>[安全模式？重启电脑时按住F8 选择进入安全模式]<BR>启动项目<BR>注册表<BR>[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]<BR>&nbsp; &nbsp;&nbsp;&nbsp;&lt;twin&gt;&lt;C:\WINDOWS\system32\twunk32.exe&gt;&nbsp; &nbsp;[N/A]<BR>&nbsp; &nbsp;&nbsp;&nbsp;&lt;twin&gt;&lt;C:\WINDOWS\system32\ctfnom.exe&gt; [Microsoft Corporation]&nbsp; &nbsp;最新变种<BR>=================================<BR>服务 <BR>[Windows DHCP Service / WinDHCPsvc]<BR>&nbsp; &nbsp;&lt;C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start&gt;&lt;Microsoft Corporation&gt;<BR><BR>4、最后要提醒注意的就是 卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。<BR></P>
}#@N%w hA R3@ <P><FONT color=red>卡巴怎么会杀不掉哦，看你怎么杀了，02年就处理掉的病毒，昨天还杀掉过。</FONT></P>p d+[b VLZ$a)E
%D+EQcb7D
[[i] 本帖最后由 zhubo393 于 2008-8-17 21:16 编辑 [/i]]

肯德机机 发表于 2008-8-17 21:35

<P>[quote]原帖由 <I>zhubo393</I> 于 2008-8-17 21:14 发表 <A href="http://kpchina.net/bbs/redirect.php?goto=findpost&amp;pid=1181232&amp;ptid=84541" target=_blank><IMG alt="" src="http://kpchina.net/bbs/images/common/back.gif" border=0></A> 升级到IE7或者到IE8，可以修复 &nbsp; 系统进程－－伪装的病毒 iexplore.exe Trojan.PowerSpider.ac 破坏方法：密码解霸V8.10。又称“密码结巴”。偷用户各种密码，包含：游戏密码、局域网密码、腾讯QQ账号和密码 ... [/quote]</P>
;bR&d$~X ~ <P>你说的三个文件我都点过了，扫不出 我使用KIS6的，QQ也卸掉重装了</P>
0HD3F
n4q_6[[\b3R IU <P>没有什么效果俄。。。</P>

zhubo393 发表于 2008-8-17 21:49

<P>[quote]原帖由 <I>肯德机机</I> 于 2008-8-17 21:35 发表 <A href="http://bbs.kpchina.net/redirect.php?goto=findpost&amp;pid=1181297&amp;ptid=84541" target=_blank><IMG alt="" src="http://bbs.kpchina.net/images/common/back.gif" border=0></A> 你说的三个文件我都点过了，扫不出 我使用KIS6的，QQ也卸掉重装了没有什么效果俄。。。 [/quote]</P>
\4@K"La$] <P>kis6就不清楚了，昨天是用kis2009在公司给同事的机子杀出来的。</P>4K(N q`3t,@-VGUz ?
<P>&nbsp;</P>+tK(y
o&K.`I
<P>用autoruns扫日志上来看看</P>

E.K-Sean 发表于 2008-8-17 22:00

这个病毒有这么利害的说吗，看来我也得去查查我的电脑

dlcw123 发表于 2008-8-18 09:06

重新安装系统，现在没有了。亲身经历:@27#

6288114 发表于 2008-8-18 09:14

直接还原系统

肯德机机 发表于 2008-8-18 19:19

<P>[quote]原帖由 <I>zhubo393</I> 于 2008-8-17 21:49 发表 <A href="http://kpchina.net/bbs/redirect.php?goto=findpost&amp;pid=1181361&amp;ptid=84541" target=_blank><IMG alt="" src="http://kpchina.net/bbs/images/common/back.gif" border=0></A> kis6就不清楚了，昨天是用kis2009在公司给同事的机子杀出来的。 &nbsp; 用autoruns扫日志上来看看 [/quote]</P>
+M]F+r7GZpr <P>&nbsp;</P>9e?J1f!v*KKCu
<P>啥意思啊？？？:@12# </P>

huxu88 发表于 2008-8-18 19:55

试下优化大师的wopti进程管理，也许能找到它的路径。:@8#
.p1u,k:_C3V p [attach]53916[/attach][align=left][/align]
9m^I1P/`{1M.Ge
cc$b5d7TQ*pr [[i] 本帖最后由 huxu88 于 2008-8-18 19:57 编辑 [/i]]

肯德机机 发表于 2008-8-18 20:17

我试过的 只显示出是在program file文件夹里的。。。

zhubo393 发表于 2008-8-18 21:28

<P>[quote]原帖由 <I>肯德机机</I> 于 2008-8-18 19:19 发表 <A href="http://bbs.kpchina.net/redirect.php?goto=findpost&amp;pid=1185284&amp;ptid=84541" target=_blank><IMG alt="" src="http://bbs.kpchina.net/images/common/back.gif" border=0></A> &nbsp; 啥意思啊？？？:@12# [/quote]</P>juW`;DK$?R
<P>autoruns</P>+UJCa5e^
<P>Sysinternals公司出品，可查看、删除注册表及Win.ini文件等处的自启动项目。如果怀疑有木马或病毒或者系统启动太慢，用本工具看看自启动项吧。 此新版中，可查看各个用户的启动项，而且删除 Userinit 项目时会发出安全警告，以及其它一些改进</P>gq,n\Cv_3nI`
<P>&nbsp;</P>y-u1a.g
y z;_
<P>首先，用户名为 SYSTEM 的不用管，这些是必不可少的，你强制停掉某一个系统进程，会出错，所以。 <BR><BR>另外，还有用户名为 LOCAL SERVICE 的也不用去管，它和用户名为NETWORK SERVICE 的几个进程一样，都是管理你的端口的。 <BR><BR>剩下的就是以你的用户名为进程用户名的一些启动项了。这一部分应该极少，除了杀毒软件防火墙应该没别的了。 <BR><BR>如果你想很细致地管理你机子里的启动项，使用它的功能你可以查看到所有启动项的详细情况，并且它会给出对启动项的安全性评价，另外你可以直观地看出哪些进程虽然是安全的但并不是必要的，也可以禁止掉。 </P>

肯德机机 发表于 2008-8-18 21:41

哦～～我去试试看  那优化大师不是也有开机启动项管理的吗？可以用吗？

zhubo393 发表于 2008-8-19 03:23

<P>[quote]原帖由 <I>肯德机机</I> 于 2008-8-18 21:41 发表 <A href="http://bbs.kpchina.net/redirect.php?goto=findpost&amp;pid=1186133&amp;ptid=84541" target=_blank><IMG alt="" src="http://bbs.kpchina.net/images/common/back.gif" border=0></A> 哦～～我去试试看 那优化大师不是也有开机启动项管理的吗？可以用吗？ [/quote]</P>7dU
Z p*iDO-n
<P>就是看启动项和驱动项，然后看注册表项。</P>

肯德机机 发表于 2008-8-19 19:10

恩 恩  谢谢了 楼上的～～:@15#

m511642059 发表于 2008-8-20 06:05

<P>[quote]原帖由 <I>leegood</I> 于 2008-8-17 18:51 发表 <A href="http://bbs.kpchina.net/redirect.php?goto=findpost&amp;pid=1180973&amp;ptid=84541" target=_blank><IMG alt="" src="http://bbs.kpchina.net/images/common/back.gif" border=0></A> 果然很妖！实在不行就艰难的备份重要文件后重装吧，虽然很痛苦。。。我曾经有一个月装三次系统的经历，什么都得重弄:@3# 楼主，同情你 [/quote]</P>F^o ~&{2k)@ hh
<P>最多时一天3次</P>

m511642059 发表于 2008-8-20 06:08

上次我同事也中了个 后来装了个360就好了，装时360会先杀掉对他部利的软件，部不过杀得很慢，LZ可以试试重新下载360安装看看

查看完整版本: 关于进程 IEXPLORE.exe的问题