没打开IE，但却有多个IEXPLORE.EXE进程是怎么回事 bbs.ikaka.com

北溟笑笑生 - 2007-2-2 22:22:00

下面是扫描报告和截图:
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 21:59:27, 日期 2007-2-2
操作系统： Windows 2000 SP4 (WinNT 5.00.2195)
浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\SkyNet\FireWall\pfw.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\mdm.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
G:\TOOLS\杀毒工具\HijackThis1991汉化版\HijackThis1991zww.exe

O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SkyNet\FireWall\pfw.exe
O4 - 启动项HKLM\\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - 启动项HKCU\\Run: [Internat.exe] internat.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Sandai Technologies Inc\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Sandai Technologies Inc\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - IE右键菜单中的新增项目: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - NT 服务: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

附件: 467879200722221256.jpg

北溟笑笑生 - 2007-2-2 22:41:00

有扫描和截图。
没人回音？斑竹在吗，可否帮忙看看/

北溟笑笑生 - 2007-2-2 22:48:00

没人回自己顶

北溟笑笑生 - 2007-2-2 22:51:00

继续顶

北溟笑笑生 - 2007-2-2 22:58:00

继续

北溟笑笑生 - 2007-2-2 23:01:00

继续

北溟笑笑生 - 2007-2-2 23:02:00

go on

北溟笑笑生 - 2007-2-2 23:02:00

go on and on

北溟笑笑生 - 2007-2-2 23:03:00

My heart will go on and on

北溟笑笑生 - 2007-2-2 23:17:00

on and on

北溟笑笑生 - 2007-2-2 23:22:00

on……

北溟笑笑生 - 2007-2-2 23:27:00

on

北溟笑笑生 - 2007-2-2 23:32:00

先on到这里，明天继续on

北溟笑笑生 - 2007-2-3 12:25:00

go on

北溟笑笑生 - 2007-2-3 12:25:00

继续

水树雨下 - 2007-2-3 12:25:00

mizuki.ys168.com下载sreng2,关闭qq，下载软件等一切不必要的程序后扫个日志上来，一次贴不完分段贴，不要修改

ps谚语 - 2007-2-3 12:29:00

哥们你真不易

千里当官不为钱 - 2007-2-3 14:20:00

1 、杀毒前关闭系统还原：右键--我的电脑 --属性--系统还原，在所有驱动器上“关闭系统还原”打勾即可。清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮，将删除所有脱机内容打勾，点确定删除。
2、用强制删除工具 PowerRMV
分别填入下面的文件（包括完整的路径），勾选“抑止杀灭对象再次生成”，点杀灭【如果提示找不到，请忽略该提示】
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\windhcp.ocx
以下的操作都要求安全模式下进行。
[重启电脑时按住F8 选择进入安全模式]
========================================

3、用工具 System Repair Engineer 删除如下各项启动项目：
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<C:\WINDOWS\system32\twunk32.exe>--------------------------------------------------------------------------------------------------------------------------- 服务
[Windows DHCP Service / WinDHCPsvc]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
4、最后要提醒注意的就是卸载QQ，重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖
(转自http://hi.baidu.com/373810029/blog/item/f8a4fb33a7ab7843ad4b5f26.html）

千里当官不为钱 - 2007-2-3 14:24:00

当然也可以这么做：

1. 删除QQ目录下被木马替换的TIMPlatform.exe：
%QQ%\TIMPlatform.exe

2. 重命名TIMPlatfrom.exe文件：
将%QQ%\TIMPlatfrom.exe重命名为TIMPlatform.exe

3. 删除木马启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"twin"="%System%\twunk32.exe"

4. 重新启动计算机

5. 删除木马文件：
%System%\twunk32.exe
%System%\drivers\usbme.sys

瑞星卡卡安全论坛