|
一共有兩套方案
這一套方案來(lái)自網(wǎng)絡(luò) QUOTE 我出現(xiàn)了這樣的問(wèn)題,,在網(wǎng)上曾經(jīng)見(jiàn)到說(shuō)是灰鴿子,,但用專門的程序提示沒(méi)有找到,手動(dòng)也沒(méi)有找到相應(yīng)的文件,。有一個(gè)網(wǎng)頁(yè)上說(shuō),,進(jìn)程列表中會(huì)出現(xiàn)兩個(gè)IEXPLORE.EXE,其中有一個(gè)用戶名為SYSTEM的,,我結(jié)束這個(gè)進(jìn)程之后就不會(huì)彈出這個(gè)框了,。不過(guò)下次還是會(huì)出現(xiàn),為什么會(huì)是這樣我不明白,,希望能給大家作一個(gè)參考,。
曾經(jīng)(很久以前了),江民提示在SKYPE的安裝文件內(nèi)找到huigezi病毒,,不過(guò)一直沒(méi)有什么特別的問(wèn)題,,但是后來(lái)出現(xiàn)這個(gè)問(wèn)題后,用灰鴿子的專殺工具提示說(shuō)沒(méi)有找到,,手動(dòng)也沒(méi)有所說(shuō)的那些文件,。 沒(méi)有開(kāi)IE的情況下,又出現(xiàn)了那樣的對(duì)話框,。打開(kāi)任務(wù)管理器一看,,果然有一個(gè)IEXPLORE.EXE的進(jìn)程,用工具查看是在以C:\program files\internet explorer\IEXPLORE.EXE 用戶名是SYSTEM,,內(nèi)存占用為3760 打開(kāi)IE,,發(fā)現(xiàn)兩者的State,正常的是Ready,另一個(gè)是Idle,。 請(qǐng)問(wèn),,這到底是怎么回事呢?是不是IE中病毒了,?在安全模式下,,KV2005并沒(méi)有掃出病毒,,手動(dòng)也找不到*_hook.dll的文件。 現(xiàn)在我的電腦已經(jīng)正常了(應(yīng)該是這樣),,把我的經(jīng)歷跟大家說(shuō)一說(shuō)作個(gè)參考,。 用專殺工具說(shuō)沒(méi)有找到服務(wù)端,手工查找也沒(méi)有找到,。用hijackthis掃描時(shí)發(fā)現(xiàn)有一個(gè)服務(wù)項(xiàng)windows internet/server,,跟C:\WINDOWS\system32\RavExt\winlogo.exe有關(guān),一查找,,原來(lái)是個(gè)灰鴿子,,于是先將這個(gè)服務(wù)禁用,在SERVICE的注冊(cè)表項(xiàng)下搜索找到了這個(gè)文件,,刪除,。 因?yàn)殚_(kāi)機(jī)就運(yùn)行一個(gè)用戶名為IEXPLORE.EXE的程序,懷疑在C:\Program Files\Internet Explorer下不對(duì)勁,,于是打開(kāi)這個(gè)目錄,,將IEXPLORE.EXE改成了小寫的iexplore.exe,傾刻間在這個(gè)目錄下出現(xiàn)了兩個(gè)iexplore(不知道是不是我看錯(cuò)了),,后來(lái)重啟到安全模式下,,發(fā)現(xiàn)有一個(gè)名稱是ieplore,沒(méi)有x,,我將其改名再返回正常模式,。在運(yùn)行一個(gè)IE修復(fù)工具時(shí)(ietools2.6),“進(jìn)程分析”時(shí)提示找不到文件,。將原來(lái)改名的那個(gè)改回ieplore.exe,,再運(yùn)行“進(jìn)程分析”時(shí),會(huì)彈出“開(kāi)始于兼容性模式下運(yùn)行,,……”(我不記得具體信息了,,單獨(dú)運(yùn)行ieplore.exe也會(huì)出現(xiàn)這個(gè)提示)。于是查找注冊(cè)表,,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE這個(gè)項(xiàng)下面發(fā)現(xiàn)了ieplore.exe的蹤影,,手工將ieplore.exe改成iexplore.exe,再運(yùn)行修復(fù)工具的“進(jìn)程分析”時(shí)就沒(méi)有出現(xiàn)錯(cuò)誤提示了,。 現(xiàn)在開(kāi)機(jī)時(shí),,不會(huì)自動(dòng)運(yùn)行那個(gè)用戶名為SYSTEM的IEXPLORE.EXE進(jìn)程了。也沒(méi)有socket問(wèn)題了,。 (備注:在我沒(méi)有將IEXPLORE.EXE改成小寫時(shí),,修復(fù)工具的“進(jìn)程分析”是正常的,也就是說(shuō)在那個(gè)時(shí)候注冊(cè)表還是沒(méi)有變化的) 我寫得復(fù)雜了點(diǎn),,或許改名的那一部分是多余的,,不過(guò)總給大家一個(gè)參考,。被這個(gè)問(wèn)題纏了好多天了。 已經(jīng)照著他的方法解決了,不過(guò)沒(méi)有那么復(fù)雜!只是把C:\WINDOWS\system32\RavExt這個(gè)文件夾刪了,并且在SERVICE的注冊(cè)表項(xiàng)下刪除了internet這個(gè)服務(wù)項(xiàng),現(xiàn)在開(kāi)機(jī)iexplore.exe不再自動(dòng)運(yùn)行了!只是不知道那個(gè)RavExt\winlogo.exe具體是什么病毒!?有沒(méi)有后遺癥也不清楚!! 這一套方案為原創(chuàng) [殺毒手記](méi)查殺插入iexplore的Rootkits病毒tags: kaspersky iexplore iexplore.exe 病毒 rootkit rootkits 卡巴斯基 隱藏 進(jìn)程 hidden object rejoice4 solution
Problem卡巴斯基開(kāi)機(jī)后,,主動(dòng)防御模塊報(bào)警
風(fēng)險(xiǎn)軟件 Hidden object C:\Program Files\Internet Explorer\IEXPLORE.EXE。
卡巴斯基只能報(bào)警,,終止進(jìn)程,,無(wú)法殺滅。
Logs用icesword可以看到隱藏的iexplore進(jìn)程,。
刪除新浪點(diǎn)點(diǎn)通,。
用Terminator(終截者)殺毒軟件發(fā)現(xiàn)
刪除相應(yīng)的文件和啟動(dòng)項(xiàng),,或者用超級(jí)兔子和360安全衛(wèi)士進(jìn)行刪除(包括其他不安全插件)。
PS:這個(gè)軟件機(jī)制新穎,,技術(shù)先進(jìn),,可以查殺深層病毒,網(wǎng)址:www.。
重新啟動(dòng),。
依然存在問(wèn)題,。
用rising的灰鴿子專殺,沒(méi)有發(fā)現(xiàn)病毒,。
用ewido,,找到一個(gè)adware.generic.
用f-secure blacklight 查殺,找到隱藏進(jìn)程,,但是具體什么病毒,,不知道。
下載ewido最新版本(AVG ANTI-SPYWARE),,http://www./en/download/,升級(jí)到最新版,。找到一些cookie上的風(fēng)險(xiǎn)。
查來(lái)查去,,用SREng找到一個(gè)rejoice4,,參考http://www./Article/show.asp?id=100,用如下方法殺滅,。
問(wèn)題解決?。?!
Notes
反Rootkit工具專殺06灰鴿子工具使用方法
hidden object病毒解決方案
Links常用殺毒工具集和網(wǎng)站
|
|
|
