网管联盟 - 深圳市聚源科技有限公司

 找回密码
 立即注册

QQ登录

只需一步,快速开始

服务器被入侵检测
开启左侧

[转载] 病毒伪装系统进程---iexplore.exe

[复制链接]
匿名  发表于 2019-5-27 14:32:45 |阅读模式
【问题现象】
1.系统进程中有iexplore.exe运行,注意,是小写字母
2.搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
【解决办法】

1.到C:\\WINDOWS\\system32下找到ixplore.exe 和  psinthk.dll  完全删除之。
2.到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
\\Run   “mssysint”=  iexplore.exe,删除其键值



运行原理:
一、
1.病毒把自身复制到系统目录,命名为“iexplore.exe”
2.添加注册表启动项 :
    HKEY_LOCAL_MACHINE   Software\\Microsoft\\Windows\\CurrentVersion
   \\Run   “mssysint”=  iexplore.exe
二、系统中的 病毒运行后
   释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户各种输入。从中取得用户的各种密码。
三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。
四、下载“http://***web.jieba.net/download/power001.snk”
五、通过“pop3.sina.com.cn”发送信件。
这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。




分析:
进程中有两个 iexplore.exe
一个用户名是SYSTEM
另一个用户名是我的计算机名,已知道这个是ie浏览器的进程,
那么第一个是不是病毒?
iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些 Windows系统工具,该进程的安全等级是建议删除
这个东西可以说是病毒,也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE,但是它一般情况随系统被安装在C:\Program Files\Internet Explorer下面。那么,如果发现这个文件是在这个目录下面的,一般情况不是病毒,当然,不包括已经被感染了的情况;还有一种情况,就是 IEXPLORE.EXE在C:\WINDOWS\system32\下面,那么这个十有八九都是病毒。
如果你没开IE,一般不会出现iexplore.exe 的,如果有90%中招了~~~
中毒情况如下:浏览器被劫持了,或者病毒名为:IEXPL0RE.EXE,注意,这里是0,不是O
如果是病毒名为IEXPL0RE.EXE,进入安全模式或DOS,最新病毒库查杀,前提是杀毒软件不要太次。
如果是浏览器被劫持,在注册表里搜索所有RUN项,看看是否有可疑文件启动路径,还有搜索IEXPLORE.EXE,看看启动项后面是否有尾巴,也就是有跟随IEXPLORE.EXE启动的项目(例如IE后面跟随 C:\\windows\\system32\\***.exe或者.dll)。

1、使用资源管理器查看进程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒(或由病毒生成的后门软件),甚至其它的一切不常见的进程都有可能是,如果不能确定,找一台服务器上的进程来观察(服务器应该不会被感染)。
2、将病毒程序(后门)的进程结束掉,对于不能结束的,可以使用附件中的pskill.exe结束掉(命令格式“pskill 进程名”)。
3、打开“服务”,在服务列表中将没有“描述”服务进行筛选,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务,依次删掉注册表中的
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(Run Services]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Run Services]……的相关的健值(还有WinVNC的进程,没有记住是什么健值)
4、删掉[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg]   [HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值,
5、并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值为” %SystemRoot%\system32\NOTEPAD.EXE %1”,此时,.txt的文件无法正常打开,可以点击文本文件的右键选择其它方式,选择使用Notepad即可。
6、删掉系统system32目录下的以下程序(大部分可执行程序的大小都为78,848字节): winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、 rpcsrv.exe 、 iexplore.exe 、 prom0n.exe(注意中间的是数字0) 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe
7、清空“C:\Do***ents and Settings\Default User(或Default Uesr..WINNT)\Local Settings\Temporary Internet Files\Content.IE5”目录下除了“desktop.ini”的所有文件,该路径下,发现有一些后门软件。
8、关闭所有目录的完全共享!――这是关闭了该程序还可以通过网络感染的途径。
9、重新启动计算机,观察是否还有类似进程出现,尤其是irftpd.exe,这个程序是由上述第3步的“服务”程序自动生成的。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

网管联盟 - 深圳市聚源科技有限公司 ( 粤ICP备17103197号-2 )

GMT+8, 2019-8-23 17:50 , Processed in 0.118115 second(s), 24 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表