多个IEXPLORE与 WinDHCPsvc -----------附清除方法
[size=12px][b] 很长时间以来,很多人在求助“进程中出现多个IEXPLORE”,看到大家这么焦急,我也是身有感触,结合自身中毒的经历和杀毒过程,我将这些全部整理一遍,以供大家参考。[/b][b] 废话不说了.[/b]
[b]
[img]http://bbs.360safe.com/images/attachicons/image.gif[/img] [url=http://bbs.360safe.com/member.php?action=credits&view=getattach][color=#0000ff]图片附件[/color][/url]: [url=http://bbs.360safe.com/attachment.php?aid=13777][color=#0000ff]LEGACY_WinDHCPsvc.jpg[/color][/url] (2007-2-11 13:53, 83.51 K)
[img]http://bbs.360safe.com/attachments/LEGACY_WinDHCPsvc_7kw6L32fNlub.jpg[/img][/b]
[b][color=magenta][/color][/b]
[b][color=magenta][/color][/b]
[b][color=magenta][/color][/b]
[b][color=magenta][/color][/b]
[b][color=magenta][/color][/b]
[b][color=magenta][/color][/b]
[b][color=magenta]第一种中毒现象及去除方法:[/color][/b]
[b][color=#ff00ff][/color][/b]
[color=dimgray][b][color=#ff00ff]中毒现象:[/color][/b][/color]
[b][color=dimgray][color=dimgray]1.[/color]系统开机,没有启动IE的情况下,进程中有iexplore.exe运行,用户是:SYSTEM; [/color]
[color=dimgray]2.搜索该程序iexplore.exe,位于C:\WINDOWS\system32下面。[/color]
[color=dimgray][color=magenta]分析:[/color][/color]
[color=dimgray]十有八九,你是中了 Trojan.PowerSpider.ac 木马病毒,它偷取用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。[/color]
[color=magenta]查杀方法:[/color]
[color=dimgray]1、到C:\WINDOWS\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。 [/color]
[color=dimgray]2、到注册表中,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run“mssysint”= iexplore.exe,删除其键值。【或者类似键值】[/color][/b]
[b][color=#696969][/color][/b]
[b][color=#696969][/color]
[/b]
[b][color=dimgray][color=#ff00ff]第二种中毒现象及去除方法【较为普遍】:
[img]http://bbs.360safe.com/images/attachicons/image.gif[/img] [url=http://bbs.360safe.com/member.php?action=credits&view=getattach][color=#0000ff]图片附件[/color][/url]: [url=http://bbs.360safe.com/attachment.php?aid=13864][color=#0000ff]SNAG-0014.jpg[/color][/url] (2007-2-12 11:48, 30.19 K)
[img]http://bbs.360safe.com/attachments/SNAG-0014_rbBaBzVH6BHk.jpg[/img]
[img]http://bbs.360safe.com/images/attachicons/image.gif[/img] [url=http://bbs.360safe.com/member.php?action=credits&view=getattach][color=#0000ff]图片附件[/color][/url]: [url=http://bbs.360safe.com/attachment.php?aid=13865][color=#0000ff]SNAG-0000.jpg[/color][/url] (2007-2-12 11:42, 44.91 K)
[img]http://bbs.360safe.com/attachments/SNAG-0000_Mv8ylrzainJi.jpg[/img]
[/color][/color][/b][b][color=dimgray]
[color=#ff00ff]中毒现象:[/color][/color]
[/b][b][color=dimgray]没有启动IE的情况下, 不停的运行多个iexplore.exe还是大写的,iexplore.exe文件地址属于XP自带的IE没错。所以一般杀毒软件全部检测为正常。其他系统进程正常,也没多出异常的进程。[/color][/b]
[b][color=dimgray]但是细心的人就会发现服务中多出了:[color=#ff0000]windows DHCP service[/color][color=#808080] [/color]<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>[/color][/b]
[b][color=dimgray]“恶意软件清理”会[/color][color=red][color=gray]提示[/color][color=black]检测到“WinDHCPsvc”,指向HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WinDHCPsvc[/color] [/color][color=gray]但是无法清除;[/color][/b]
[b][color=gray]360safe的服务项里面会有[color=#808080][color=gray]服务windows DHCP service[/color] ,虽然你选中并点击[color=gray]“修复选中项”,[/color]重新扫描之后还是安然无恙。[/color]
[/color][color=#ff00ff]分析:[/color]
[color=dimgray]是病毒.[size=1][color=black]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root[/color][/size][/color][/b][color=gray][b]键项键值都有权限保护,要将“完全访问”添加入权限再可删除。[/b][/color]
[align=left][color=#ff00ff][b]查杀方法:[/b][/color]
[color=dimgray][b]1.杀毒前关闭系统还原:右键 我的电脑-属性-系统还原-在所有驱动器上关闭系统还原 打勾即可。
2.清除IE的临时文件:打开IE 点工具--Internet选项-Internet临时文件-点“删除文件”按钮-将 删除所有脱机内容 打勾-点确定删除。
3.用强制删除工具 PowerRMV[/b] [b]删除以下两个文件,分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 ,有找不到提示的请忽略:[/b][/color][/align][align=left][color=dimgray][b] c:\windows\system32\twunk32.exe
[/b][/color][color=dimgray][b] c:\Program Files\Tencent\QQ2006\TIMPlatfrom.exe
这个是你QQ的安装目录,不一定是这个目录,反正就是的QQ目录里面,找到这个文件TIMPlatfrom.exe 。这里请注意了: 我们正常的文件是 TIMPlat[color=red]form[/color].exe而不是 TIMPlat[color=red]from[/color].exe[/b]
[b]2.删除注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]下面的load键。[/b][/color][/align][align=left][color=dimgray][b]3.删除注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc [/b][/color][/align][align=left][color=dimgray][b]4.定位到[[color=#000000]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WinDHCPsvc[/color]][color=#808080]将“完全访问”添加入[color=#000000]LEGACY_WinDHCPsvc的访问[/color]权限,[/color][color=#696969]删除[/color][color=#000000]LEGACY_WinDHCPsvc[/color][color=gray]项。
[img]http://bbs.360safe.com/images/attachicons/image.gif[/img] [url=http://bbs.360safe.com/member.php?action=credits&view=getattach][color=#0000ff]图片附件[/color][/url]: [url=http://bbs.360safe.com/attachment.php?aid=13691][color=#0000ff]1170633708956.gif[/color][/url] (2007-2-10 17:53, 35.65 K)
[img]http://bbs.360safe.com/attachments/1170633708956_NMZYW00xCwhC.gif[/img][/color][/b][/color][/align][align=left][color=dimgray][/color][/align][align=left][color=dimgray][b]重启OK.[/b][/color][/align][color=dimgray][/color]
[font=宋体][color=darkred]提示:以上操作尽量在安全模式下删除。[/color][/font]
[/size] 谢谢分享,支持楼主发好帖! 多谢讲解啊 好好学下了
页:
[1]