系统进程－－伪装的病毒 iexplore.exe

最新推荐文章于 2024-03-10 12:00:00 发布

weixin_30576859

最新推荐文章于 2024-03-10 12:00:00 发布

阅读量328

点赞数

文章标签：操作系统 shell

原文链接：http://www.cnblogs.com/myhjcqk/archive/2006/11/15/561811.html

版权

iexplore.exe进程－－病毒

系统进程－－伪装的病毒 iexplore.exe

Trojan.PowerSpider.ac 破坏方法：密码解霸V8.10。又称“密码结巴”

偷用户各种密码，包含：游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广，对广大互联网用户的潜在威胁也巨大。

现象：1。系统进程中有iexplore.exe运行，注意，是小写字母
2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹，而是WINDOWS32文件夹。

解决办法：1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
2。到注册表中，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
\\Run “mssysint”= iexplore.exe,删除其键值

运行原理：
一、1。病毒把自身复制到系统目录，命名为“iexplore.exe”
     2。添加注册表启动项：
    HKEY_LOCAL_MACHINE   Software\\Microsoft\\Windows\\CurrentVersion
\\Run   “mssysint”= iexplore.exe
二、系统中的病毒运行后，释放“psinthk.dll”，通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子，截取用户的各种输入。从中取得用户的各种密码。
三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记，防止自己重复运行。
四、下载“http://***web.jieba.net/download/power001.snk”
五、通过“pop3.sina.com.cn”发送信件。
   这个病毒对发送的邮件中的信息进行了加密，如果没有密码，不能看到其中的信息。

求教,iexplore.exe病毒怎么杀

我的机子中有一个iexplore.exe进程和一个Explorer.exe进程，雅虎提示iexplore.exe为木马，在c:\programe files\Internet Explorer目录下，这个进程为隐藏进程，用冰刃、what's run等进程查看软件都看不到，我的系统为windows2000,怎么杀掉？

c:\programe files\Internet Explorer目录下的ie是真正的ie，应该没问题
貌似某版本的灰鸽子会启动一个iexplore.exe进程，并隐藏

还是用杀毒软件或者查木马的软件查查看吧

如果是灰鸽子，网上专杀和怎么手动清理的帖子也很多（瑞星上有一些不错的）
用hijackthis之类的查查看有没有多个服务出来，一般都要在安全模式下进行，勾掉隐藏文件，和受保护的系统文件，删掉服务和木马文件

瑞星卡卡社区的精华帖子
【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)
http://forum.ikaka.com/topic.asp?board=28&artid=7422438

如果不是病毒,它为什么隐藏呢?我进入安全模式把这个文件删掉了,然后从其它机子上拷一个IEXPLORE.EXE文件过来(人家机子上是大写字母),到我机子立即被改成了iexplore.exe,这是不是什么注入式病毒?

我的有时也会,那是你装的病毒软件的问题.你把那病毒软件删掉,重起,就没有了,我的就是这样.你用的是什么杀软,我装塞门铁克的时候发现的,你是不是开几个IE,就有几个iexplore.exe.装NOD32,卖咖啡,趋势,都没这问题.

进程中有两个 iexplore.exe
一个用户名是SYSTEM
另一个用户名是我的计算机名,已知道这个是ie浏览器的进程,
那么第一个是不是病毒?
iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪，和访问本地Interanet网络。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分，这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒，该病毒会终止你的反病毒软件，和一些 Windows系统工具，该进程的安全等级是建议删除
这个东西可以说是病毒，也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE，但是它一般情况随系统被安装在C:\Program Files\Internet Explorer下面。那么，如果发现这个文件是在这个目录下面的，一般情况不是病毒，当然，不包括已经被感染了的情况；还有一种情况，就是 IEXPLORE.EXE在C:\WINDOWS\system32\下面，那么这个十有八九都是病毒。
如果你没开IE,一般不会出现iexplore.exe 的,如果有90%中招了～～～
中毒情况如下：浏览器被劫持了，或者病毒名为：IEXPL0RE.EXE，注意，这里是0，不是O
如果是病毒名为IEXPL0RE.EXE，进入安全模式或DOS，最新病毒库查杀，前提是杀毒软件不要太次。
如果是浏览器被劫持，在注册表里搜索所有RUN项，看看是否有可疑文件启动路径，还有搜索IEXPLORE.EXE，看看启动项后面是否有尾巴，也就是有跟随IEXPLORE.EXE启动的项目(例如IE后面跟随 C:\\windows\\system32\\***.exe或者.dll）。

iexplore.exe进程－－病毒
系统进程－－伪装的病毒iexplore.exe
Trojan.PowerSpider.ac破坏方法：密码解霸V8.10。又称“密码结巴”
偷用户各种密码，包含：游戏密码、局域网密码、腾讯QQ账号和密码、POP3密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广，对广大互联网用户的潜在威胁也巨大。
现象：
1.系统进程中有iexplore.exe运行，注意，是小写字母
2.搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹，而是WINDOWS32文件夹。
解决办法：
1.到C:\\WINDOWS\\system32下找到iexplore.exe和psinthk.dll完全删除之。
2.到注册表中，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
\\Run“mssysint”=iexplore.exe,删除其键值

情况如下：
　　在上网浏览网页的时候，打开一个链接，网页内容还没有显示出来，却打开了类似CHM帮助文件这样的窗口，里面一片空白，过了没几秒钟就自动关闭了．江民杀毒软件提示有病毒，询问我如何操作．我选择了＂禁止＂一项．然后江民杀毒又提示我说＂mshta.exe改变了注册表＂．我也选择了＂禁止＂．．
　　然后电脑像死机一样，过了大概10秒左右．我打开任务管理器，发现里面有IEXPLORE.EXE这个进程，显示的用户名是：SYSTEM.（后来我手工双击ＩＥ图标打开，显示的也是这个进程名，但用户名是我登录电脑的用户名：administrator）
　　这时候，我根本就没有打开过ＩＥ浏览器，只是打开傲游浏览器，还有一个文件夹．于是我选择结束iexplore.exe这个进程，可是当我一结束这个进程，鼠标马上就变成在运行程序的样子，然后iexplore.exe 这个进程又自动加载了．
　　接下来我断开网络进入安全模式杀毒，没有发现任何异常．打开任务管理器，竟然也有IEXPLORE.EXE这个进程，同样也是结束它又自动加载起来．于是我打开超级兔子查看这个进程在硬盘上的物理路径，发现是ＩＥ本身（同时查看了自动运行项目，没有发现这个自启动项）．我打开ＩＥ的文件夹，更改了iexplore.exe为新的文件名：siexplores.aexes.．．
　　再重启电脑，不进行任何操作，直接打开任务管理器，没有发现任何异常进程，于是我就把之前改名的siexplores.aexes重新更名为iexplore.exe．但是当我一更文件名后，马上鼠标又变成运行程序的样式，任务管理器中就多了iexplore.exe这个进程．一样是结束掉又自动加载．我又把iexplore.exe重新更名，但是现在不管我改成什么文件名，马上ＩＥ的文件夹下就会自动多一个iexplore.exe文件，我再改，就再多一个这样的文件．

大家可以把系统重新安装，也可以用软盘进行Ｃ盘修复！
还有最好的方法就是注册表修复！

1、使用资源管理器查看进程，注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒（或由病毒生成的后门软件），甚至其它的一切不常见的进程都有可能是，如果不能确定，找一台服务器上的进程来观察（服务器应该不会被感染）。

　　2、将病毒程序（后门）的进程结束掉，对于不能结束的，可以使用附件中的pskill.exe结束掉（命令格式“pskill 进程名”）。

　　3、打开“服务”，在服务列表中将没有“描述”服务进行筛选，查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务，依次删掉注册表中的

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK]

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe]

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension]

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service]

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(Run Services]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Run Services]……的相关的健值(还有WinVNC的进程，没有记住是什么健值)

　　4、删掉[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg]

　　[HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值，

　　5、并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值为” %SystemRoot%\system32\NOTEPAD.EXE %1”,此时，.txt的文件无法正常打开，可以点击文本文件的右键选择其它方式，选择使用Notepad即可。

　　6、删掉系统system32目录下的以下程序（大部分可执行程序的大小都为78,848字节）： winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、 rpcsrv.exe 、 iexplore.exe 、 prom0n.exe（注意中间的是数字0）、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe

　　7、清空“C:\Do***ents and Settings\Default User（或Default Uesr..WINNT）\Local Settings\Temporary Internet Files\Content.IE5”目录下除了“desktop.ini”的所有文件，该路径下，发现有一些后门软件。

　　8、关闭所有目录的完全共享！――这是关闭了该程序还可以通过网络感染的途径。

　　9、重新启动计算机，观察是否还有类似进程出现，尤其是irftpd.exe，这个程序是由上述第3步的“服务”程序自动生成的。

转载于:https://www.cnblogs.com/myhjcqk/archive/2006/11/15/561811.html