none
请帮忙诊断一下iexplorer.exe RRS feed

  • 问题


  • 我的IE被感染了,我估计电脑里有木马,但是我查不出来,重装IE也没有用。请帮忙。

    症状:病毒修改 IE的start page 和 default_page_url, 使得一起动IE便转到它所绑定的主页,但是很奇怪的是病毒并不永久修改HKCU/software/microsoft/internet explorer/main/start page键, 而是在每一次要访问主页的时候,修改这个键值为该网站的地址。

    下面是我用registry monitor纪录当我用IE的internet 选项 修改主页为about:blank时 注册表被访问的情况:

    --------------------------------------------------------------------------------------------------------------
    1 iexplore.exe:3484    OpenKey    HKCU\Software\Microsoft\Internet Explorer\Main    SUCCESS    Access: 0x1    
    2 iexplore.exe:3484    QueryValue    HKCU\Software\Microsoft\Internet Explorer\Main\Start Page    SUCCESS    "www.9991.com"   
    3  iexplore.exe:3484    QueryKey    HKCU\Software\Microsoft\Internet Explorer\Main    ACCESS VIOLATION       
    4  iexplore.exe:3484    CloseKey    HKCU\Software\Microsoft\Internet Explorer\Main    SUCCESS       
    5  iexplore.exe:3484    OpenKey    HKCU\Software\Microsoft\Internet Explorer\Main    SUCCESS    Access: 0x20006    
    6  iexplore.exe:3484    SetValue    HKCU\Software\Microsoft\Internet Explorer\Main\Start Page    SUCCESS    "about:blank"   
    7  iexplore.exe:3484    QueryKey    HKCU\Software\Microsoft\Internet Explorer\Main    ACCESS DENIED    DDD\dd 
    8  iexplore.exe:3484    CloseKey    HKCU\Software\Microsoft\Internet Explorer\Main    SUCCESS   


    很奇怪的是即使我删掉start page键,它仍可以 修改这个键值,请问这是为什么?

    进程里除了这个之外好像都很正常。另外, 在做上面动作的同时, 我也用filemon看iexplorer.exe访问的文件, 发现它会访问content.ie5\index.dat, 然后Desktop.htt, 好像也没有什么异常。

    另外,如果我禁止除管理员之外的帐户访问该键值,打开IE设置时这一栏是乱码

    我不是很理解这个过程,想在重装电脑前了解一下,所以请帮忙诊断一下,谢谢。

    2008年4月3日 4:16

答案

  •  

    用瑞星杀毒软件查看或用专门iexplorer.exe的软件

    http://dubanet.org.cn/jinshaduba-kill-iexploreexe/2007-11-26/

     

    手动清除进程 IEXPLORE.EXE 的病毒:
    一、删除以下两个文件:
    c:\windows\system32\twunk32.exe
    c:\Program Files\Tencent\QQ2006\TIMPlatform.exe
    二、删除注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]下面的load键。
    重启OK,我就是用这个方法清除掉的。
    注意要在安全模式下删除。
    因为卡巴斯基不能升级,不知升级后是否可以杀掉。
    更多请参考其它文章
    系统进程--伪装的病毒 iexplore.exe
    Trojan.PowerSpider.ac
    破坏方法:密码解霸V8.10。又称“密码结巴”
    偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
    现象:1。系统进程中有iexplore.exe运行,注意,是小写字母
    2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
    iexplore.exe专杀
    解决办法:1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
    2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
    \\Run “mssysint”= iexplore.exe,删除其键值

    运行原理:
    一、1。病毒把自身复制到系统目录,命名为“iexplore.exe”
    2。添加注册表启动项 :
    HKEY_LOCAL_MACHINE Software\\Microsoft\\Windows\\CurrentVersion
    \\Run “mssysint”= iexplore.exe
    二、系统中的 病毒运行后,释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户的各种输入。从中取得用户的各种密码。
    三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。
    四、下载“http://***web.jieba.net/download/power001.snk”
    五、通过“pop3.sina.com.cn”发送信件。
    这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。

     

    2008年8月12日 16:20

全部回复

  •  

    在注册表搜这个URL。全删掉试试。

    应该是注册表里绑定了

    2008年4月3日 6:02
  • 建议你先使用安全安全卫士360来清理和修复一下系统,看看效果如何再说。

     

    PS:360升级到最新版本后进入安全模式处理效果好一些。

    2008年4月3日 6:27
    版主

  • 注册表里搜不到这个url,因为它只在iexplorer.exe访问这个key的一瞬间修改键值。
    不知道是不是iexplorer进程里所对应的某个dll有问题,但是我查不出来
    2008年4月3日 18:40
  • 一般不会在DLL文件里单嵌入个rul。因为这样的“人”也太大才小用了吧。除非是下载者

    一般可能是在注册表里或IE的主目录下写入一个这样的页。再把权限改成只读。而已,只是如何

     

    如果楼主感觉是dll的文件话。争议下个冰忍查看一下dll的调用。用seng2生成个报告。看一下

    2008年4月4日 3:51
  • 有个治标不治本的办法就是给IE快捷方式添加启动参数: -nohome

    这样子最起码不会加载任何首页地址。

    2008年4月5日 7:13
    版主
  •  

    100%一万有木马,长话短说,实际解决:

    1,用AUTORUNS取消一切无关的启动项,这可以解决50%不厉害的小木马

    2,用AVG ANTISPY升级到最新,安全模式下杀,其余的用了也白搭,你电脑上的杀毒软件就是例子、

    这可以解决48%厉害的木马。

    3,光盘启动手工判断,杀毒,调整注册表,可以解决1%的超厉害的木马

    4,还有1%,只能重装。

     

    要快的,直接使用第2步因该可以解决你的问题了。

    2008年4月8日 17:56
  • 这个现象应该是木马的行为了

     

    找不出来应该是木马使用了rootkit技术

     

    用瑞星卡卡助手高级功能看看驱动的启动项管理,隐藏微软和瑞星签名的项目,

     

    分析下剩余的项目看看,删除确认不明来历的,重启看看

    2008年4月13日 1:42
  • 用sreng掃描一下,然後日志贴上来,让大家帮你分析一下。
    2008年4月14日 14:42
  •  

    请先查看是否中了木马,工具选冰刃,还有360安全卫士,有可能中了流氓插件,将系统详细查看一下以及修复该可以了
    2008年8月12日 9:39
  •  

    用瑞星杀毒软件查看或用专门iexplorer.exe的软件

    http://dubanet.org.cn/jinshaduba-kill-iexploreexe/2007-11-26/

     

    手动清除进程 IEXPLORE.EXE 的病毒:
    一、删除以下两个文件:
    c:\windows\system32\twunk32.exe
    c:\Program Files\Tencent\QQ2006\TIMPlatform.exe
    二、删除注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]下面的load键。
    重启OK,我就是用这个方法清除掉的。
    注意要在安全模式下删除。
    因为卡巴斯基不能升级,不知升级后是否可以杀掉。
    更多请参考其它文章
    系统进程--伪装的病毒 iexplore.exe
    Trojan.PowerSpider.ac
    破坏方法:密码解霸V8.10。又称“密码结巴”
    偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
    现象:1。系统进程中有iexplore.exe运行,注意,是小写字母
    2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
    iexplore.exe专杀
    解决办法:1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
    2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
    \\Run “mssysint”= iexplore.exe,删除其键值

    运行原理:
    一、1。病毒把自身复制到系统目录,命名为“iexplore.exe”
    2。添加注册表启动项 :
    HKEY_LOCAL_MACHINE Software\\Microsoft\\Windows\\CurrentVersion
    \\Run “mssysint”= iexplore.exe
    二、系统中的 病毒运行后,释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户的各种输入。从中取得用户的各种密码。
    三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。
    四、下载“http://***web.jieba.net/download/power001.snk”
    五、通过“pop3.sina.com.cn”发送信件。
    这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。

     

    2008年8月12日 16:20
  • dll的可能性很大。

     

    如果有兴趣,可以尝试搜索所有系统盘里的dll,找 www.9991.com 这个字串(注意要找两次,ansi和unicode各找一次),一般应该能找到。如果还不行,就扩大到所有文件,慢点而已,起码可以知道是哪个害了你。

    2008年8月12日 16:55
  • 重新安裝系統.
    2008年8月12日 17:25