很长时间以来,很多人在求助“进程中出现多个IEXPLORE”,看到大家这么焦急,我也是身有感触,结合自身中毒的经历和杀毒过程,我将这些全部整理一遍,以供大家参考。
废话不说了.
 图片附件: LEGACY_WinDHCPsvc.jpg (2007-2-11 13:53, 83.51 K)
第一种中毒现象及去除方法:
中毒现象:
1.系统开机,没有启动IE的情况下,进程中有iexplore.exe运行,用户是:SYSTEM;
2.搜索该程序iexplore.exe,位于C:\WINDOWS\system32下面。
分析:
十有八九,你是中了 Trojan.PowerSpider.ac 木马病毒,它偷取用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。
查杀方法:
1、到C:\WINDOWS\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
2、到注册表中,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run“mssysint”= iexplore.exe,删除其键值。【或者类似键值】
第二种中毒现象及去除方法【较为普遍】:
图片附件: SNAG-0014.jpg (2007-2-12 11:48, 30.19 K)
图片附件: SNAG-0000.jpg (2007-2-12 11:42, 44.91 K)
中毒现象:
没有启动IE的情况下, 不停的运行多个iexplore.exe还是大写的,iexplore.exe文件地址属于XP自带的IE没错。所以一般杀毒软件全部检测为正常。其他系统进程正常,也没多出异常的进程。
但是细心的人就会发现服务中多出了:windows DHCP service <C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
“恶意软件清理”会提示检测到“WinDHCPsvc”,指向HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WinDHCPsvc 但是无法清除;
360safe的服务项里面会有服务windows DHCP service ,虽然你选中并点击“修复选中项”,重新扫描之后还是安然无恙。
分析:
是病毒.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root键项键值都有权限保护,要将“完全访问”添加入权限再可删除。
查杀方法:
1.杀毒前关闭系统还原:右键 我的电脑-属性-系统还原-在所有驱动器上关闭系统还原 打勾即可。
2.清除IE的临时文件:打开IE 点工具--Internet选项-Internet临时文件-点“删除文件”按钮-将 删除所有脱机内容 打勾-点确定删除。
3.用强制删除工具 PowerRMV 删除以下两个文件,分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 ,有找不到提示的请忽略: c:\windows\system32\twunk32.exe
c:\Program Files\Tencent\QQ2006\TIMPlatfrom.exe
这个是你QQ的安装目录,不一定是这个目录,反正就是的QQ目录里面,找到这个文件TIMPlatfrom.exe 。这里请注意了: 我们正常的文件是 TIMPlatform.exe而不是 TIMPlatfrom.exe
2.删除注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]下面的load键。 3.删除注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc 4.定位到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WinDHCPsvc]将“完全访问”添加入LEGACY_WinDHCPsvc的访问权限,删除LEGACY_WinDHCPsvc项。
图片附件: 1170633708956.gif (2007-2-10 17:53, 35.65 K)
 重启OK.
提示:以上操作尽量在安全模式下删除。
| 
发表于 2007-3-30 17:46
| 
发表于 2007-3-30 18:00
|