iexplore.exe自動啟動運行!(貌似病毒引起,已解決!)

[殺毒手記]查殺插入iexplore的Rootkits病毒

Problem

Logs

#O4  危險     自啟動:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\IE7 Uninstall Stub]-c:\windows\system32\ieudinit.exe

* 數值名稱為：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}

#O4  危險     自啟動:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\Web反病毒保護]-c:\windows\system32\ssup.dll

70.O02 - 瀏覽器輔助對象(BHO) - SSLive，TENCENT，
CLSID：{669751ED-D558-49AE-B01A-3B374CC7910E}
相關文件：C:\WINDOWS\system32\ssup.dll

“rejoice4.exe插入到進程iexplore.exe，任務管理器中可以見到iexplore.exe“

解決辦法：
1、用icesword殺掉隱藏的進程iexplore.exe。
2、刪除C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice4.exe
3、進入注冊表編輯器，刪除[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice]

    也可以用SREng來刪除服務。

4、重新啟動。

 

PS: 卡巴斯基不是萬能的。

Notes

你電腦中的是后門病毒變種，搞個專殺就可以了！

http://it./service/technology/RS_LovGate_download.htm 這里去試試吧

利用IceSword,我們可以用IceSword查看是否有iexplore.exe這個進程和灰鴿子檔案
注意:
-這個iexplore.exe,用任務管理器或Process Explorer都是看不到
-記得先關閉所以IE視窗才用IceSword看

但這個方法,只可以確定你的系統有很大機會中了惡意軟件,因為PcClient/PcShare以及有一些后門,都會有這個iexplore.exe隱藏進程.

我現在裝的是卡巴斯基6.0
可裝完后開機就阻止什么
可疑: 風險軟件 Hidden object C:\Program Files\Internet Explorer\IEXPLORE.EXE

個人認為可能是因為某木馬附在IEXPLORE。EXE上所造成的，要找到木馬真正的所在才可徹底清除，根據以上分析，

C:\WINNT\system32\dbhaeeip.dll

C:\WINNT\System32\dbhaeeip.d1l
這兩項最可疑，但是在系統中又找不到這兩個文件！不知從何下手！

 

#HP0 警告     隱藏進程: C:\Program Files\Internet Explorer\iexplore.exe
很明顯, 這個IE瀏覽器進程被注入了病毒線程. 引起問題的很可能是以下的服務DLL

#S0  危險     NT 服務: RpcSs - ServiceDll - C:\WINNT\System32\dbhaeeip.d1l


正常的話, 他是隱藏, 很難查找到的.

你可以用 終截者 中的 安全回歸 功能.

安全回歸 攔截后, 你再找這兩個文件. 就可以了..

...

解決方案

  1、利用“冰刃”、“超級進程管理器”等工具，對啟動項、iexplore模塊進行檢測
  2、修改注冊表啟動項，刪除所有可疑或無關緊要的啟動項，因為病毒很可能利用偽裝啟動
  3、進入帶命令行的“安全模式”，刪除所有desktop.ini文件（刪除c盤del c:\desktop.ini /f/s/q/a;d盤同上）
  4、進入安全模式，用ewido徹底查殺一遍
  5、用卡巴斯基徹底查殺一遍
  6、重新啟動計算機，問題解決

Links