
病毒or not:SYSTEM帐户启动IEXPLORE.EXE进程
[ 2006-12-27 19:35:03 | 作者: oldjun ]
字号: 大 | 中 | 小
上午电脑用的好好的,感觉有点卡,于是习惯性打开进程管理器,猛的,突然发现进程里有一堆IEXPLORE.EXE进程,而且用户名是SYSTEM,每个都占10几M的内存,而我根本没开IE。很郁闷,连忙结束进程,但过了一会,发现IEXPLORE.EXE进程又在1个1个的跳出来。。。
记得以前玩灰鸽子的时候,给自己机子做肉鸡的时候,也是把木马植入IEXPLORE.EXE里的,然后就虽然没打开浏览器但进程里就有IEXPLORE.EXE。但我检查了下,根本没有灰鸽子...
会不会是冒充的什么病毒程序,于是习惯性的开了360检查了下进程,发现都是在C:\Program Files\Internet Explorer下,看来不是病毒呀!~再用360检查注册表启动项,无任何异常;再检查服务,也无异常...
瑞星没发现,各种木马查杀工具也没发现,360啊更加发现不了,折磨我好久...
上午查了好久,有了一点头绪:
1.检查存在这个隐藏文件:
C:\WINDOWS\system32\twunk32.exe;
2.QQ目录下的TIMPlatform.exe被改成病毒文件(而且是系统文件+隐藏文件),并且原来的TIMPlatform.exe
被改名成TIMPlatfrom.exe;
3.注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run下存在<twin>项,内容为:C:\WINDOWS\system32\twunk32.exe
解决方案:
1.进程里把那些IEXPLORE.EXE都结束了,并显示系统文件与隐藏文件;
2.删除注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下的load项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下的twin项
3.删除C:\windows\system32\twunk32.exe
4.删除QQ目录中的TIMPlatform.exe,或者直接删除QQ目录(卸载QQ),然后重装!~
[最后修改由 oldjun, 于 2006-12-27 20:11:37]