解决system用户自动启动iexplore.exe灰鸽子病毒

最新推荐文章于 2021-12-04 09:10:22 发布
最新推荐文章于 2021-12-04 09:10:22 发布
阅读量3k 收藏
点赞数
分类专栏: computer 文章标签: system 网络 工作 exe 金山 任务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mfxue/article/details/1644804
版权

近日,开机时发现多了个IEXPLORE.EXE进程,而且是system用户,比较奇怪.

查找msconfig里面的启动项和注册表里面的run项里面,甚至服务里面都没有, 查看该进程的启动目录为: C:/Program Files/Internet Explorer/IEXPLORE.EXE.   看来是有木马嵌入iexplore.exe进程运行了.

查看任务栏管理器,发现一个很奇怪的现象, cpu每过30秒左右会飙到100%, 按cpu比率排序,竟然就是IEXPLORE.EXE, 如下图:

(cpu规律性的跳高)

(进程cpu 97% 内存 6.3M)

 

cpu规律性的提高,是什么原因呢? 程序里面规律性的进行某项操作,而且相当占用cpu. 一个木马程序, 要嵌入系统进程,并驻留长期运行, 肯定是作为客户端上报数据(监听键盘,用户输入,盗取帐号)或者服务端提供服务(由对方主动操纵).  这里就必然离不开网络的基础.  我打开360卫士, 查看里面的网络链接情况,但是相当的奇怪,什么都没发现....-_-

百度一下吧, "syetem用户 iexplore.exe", 搜到了很多结果, 情况比较多, 相对集中的是一种:  运行了好几个iexplore.exe,都是system用户, 都是syetem32目录下有exe木马文件,注册表里面也有, 罪魁祸首都是一个叫"灰鸽子"的家伙.

我都按照操作走了一遍, 文件夹system32里面没有相应的文件, 而且注册表也找不到, 可以说一点痕迹没有.但确实活生生的开机就启动了这么个占cpu又占内存的iexplore.exe令人讨厌的东西.

我只好再启动安全卫士,看一下网络链接状态,这时有了个意外,而且相当重要的发现,就是下面这个:

哼哼, 小家伙开始工作了, 已经链接上了主机124.229.156.206的8000端口, 确信无疑的灰鸽子木马! 典型的8000端口. 看来刚才的工作, 完全是不断的重试链接远程的主机....connect, connect, connect again.

木马隐藏在哪里呢?确实是个问题.....找杀毒工具吧, 搜了一下, 弄了个"金山毒霸的灰鸽子专杀3.6".

运行就逮着这个家伙:Win32.Hack.Huigezi

 

原来这么轻松解决掉的,一下删除掉了..重启后再没那个让人不太舒服的虫子了...

mfxue
关注
专栏目录
在SYSTEM权限下以当前用户权限运行程序
01-06
在SYSTEM权限下以登陆用户运行程序。 ap.exe yourprogram.exe 请勿用于非法用途,即使要用一定要自己编译去掉banner!
iexplore.exe
11-17
win10,自带ie
iexplore.exe自动运行解决方案之一
小宝不姓韦的专栏
06-10 1527
       不知在什么年代,机器中招了,导致iexplore.exe自动允许,而且是以system的身份来运行这个进程。查看路径,是正确的ie位置。手动去kill它,它一会又出来了。利用杀毒工具查了很多,都没有报错。网上说是灰鸽子木马,用专杀工具都无效。最后只能进入安全模式,将ie改名,以后都不用ie了。        相安无事了几个月,因为现在VS2005的调试必需适应IE,没有办法
详细解说iexplore.exe是进程还是病毒
weixin_34354945的博客
01-11 154
iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore....
后门病毒iexplores.exe的介绍
Home Of HappyBear
12-28 2207
最近有一类通过移动存储设备传播的病毒例如iexplores.exe该类病毒的一般特征1在存储设备的根目录下有两个文件,一个是*.inf,另一个是*.exe,前者用于自动播放,启动后者(病毒体)一般是隐藏状态,文件夹选项->查看->显示所有文件和文件夹2在系统目录下释放病毒体目录一般为%systemroot%/system32或者%systemroot%/system有时病毒体的名字是可变的3在注册
清除iexplore.exe病毒
01-26 1080
系统进程--伪装的病毒 iexplore.exe        Trojan.PowerSpider.ac 破坏方法:密码解霸V8.10。又称“密码结巴”。偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。        这个木马没有进程,运行后进驻内存调用IE(iex
iexplore.exe应用程序错误解决方法.docx
09-26
iexplore.exe 应用程序错误解决方法 iexplore.exe 是 Internet Explorer 的一个核心组件,负责处理浏览器的主要功能。然而,当 iexplore.exe 遇到问题时,可能会出现应用程序错误的提示,导致浏览器无法正常工作。...
iexplore.exe是什么?.docx
09-26
1. 手动删除病毒文件:在C:\Windows\system32目录下找到并删除iexplore.exe和相关病毒文件,同时在注册表中移除启动项。 2. 重新安装操作系统或使用WinPE(Windows预安装环境)进行修复。 3. 使用资源管理器检查进程...
iexplore.exe进程是什么.docx
09-26
**iexplore.exe进程详解** ...然而,多个异常的iexplore.exe进程可能是系统问题或恶意软件的迹象,需要用户采取相应措施进行排查和解决。在处理这类问题时,安全和谨慎的操作是保护计算机系统的关键。
彻底解决IE浏览器“SysFader:IEXPLORE.EXE”应用程序错误[定义].pdf
10-28
彻底解决IE浏览器“SysFader:IEXPLORE.EXE”应用程序错误 SysFader:IEXPLORE.EXE 应用程序错误是一种常见的IE浏览器错误,特点是出现“ysFader:IEXPLORE.EXE - 应用程序错误”的提示,提示内容为“0x0262d580 ...
以System帐户身份运行应用程序
09-22
PsExec命令工具以SYSTEM身份运行进程,这里可以借助PsExec命令打开CMD命令提示符窗口,然后在命令提示符下运行DIR命令查看该文件下的内容,步骤如下: ⑴ 以管理员身份登录系统,打开CMD命令提示符窗口。 ⑵ 在命令提示符下运行以下命令,以SYSTEM帐户身份打开另一个CMD窗口。 PsExec -i -d -s CMD ⑶ 在新打开的命令提示符窗口下运行以下命令: DIR /a "C:\System Volume Information" 即可查看C:\System Volume Information文件夹下的内容,这说明当前的命令以SYSTEM帐户身份运行。
C#操作注册表实现程序随系统开机自动启动
05-07
C#操作注册表实现程序随系统开机自动启动,需要.net 2.0支持,需要管理员权限才能操作注册表,支持xp系统; 在win7 win10下由于UAC权限问题仅支持不需要管理员权限的程序随系统自动启动
灰鸽子变种373760”创建IEXPLORE.EXE
weixin_33872660的博客
09-20 78
"灰鸽子变种373760"(Win32.Hack.Huigezi.373760)这是一个灰鸽子的变种,该病毒属后门类。病毒运行后衍生病毒文件到系统目录下,修改注册表,创建服务,并以服务的方式达到随机启动的目的;病毒运行后可远程控制用户机器。   "QQ盗号者"(Win32.PSWTroj.QQPass.98400)这是一个QQ的盗号***。病毒运行后会衍生病毒...
网络安全学习--渗透测试简单测试流程和灰鸽子简单使用
丢爸
12-04 733
渗透测试流程 授权 信息收集 扫描漏洞 漏洞利用 提权 毁尸灭迹 留后门 渗透测试报告 通过PortScan软件扫描IP段的开放端口 445漏洞利用之IPC$ #将网络共享盘映射至本地 C:\Documents and Settings\Administrator>net use f: \\10.1.1.2\share 123456 /user :administrator 命令成功完成。 #查看本地映射情况 F:\>net use 会记录新的网络连接。 状态 本地
灰鸽子病毒手动清除方法
mybirdsky的专栏
01-23 1402
2006-02-03 21:36:57 “灰鸽子病毒手动清除方法 灰鸽子(Backdoor.Huigezi/Backdoor.Gpigeon)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞
灰鸽子病毒手工清除方法
云中客的专栏
05-24 1190
   灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。 
selenium 怎么设置 iexplore.exe -nomerge
最新发布
09-04
在使用Selenium进行自动化测试时,可以通过设置启动参数来实现iexplore.exe -nomerge命令。 首先,需要导入selenium库,并创建一个WebDriver实例,如下所示: from selenium import webdriver driver = webdriver....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值