查毒 查流氓软件 死活都查不出来。
而且每次重新启动，那个伪装JAVA什么的流氓软件就出来。无论怎么杀都没用。
大家帮我看看。。。

Logfile of Kaka v2. 0. 2. 5 Scan Module v1. 0. 2. 2
Scan saved at 01:03:21, on 2006-12-07
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))


O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: Thunder Browser Helper - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - Startup: desktop.ini =
O4 - Global Startup: desktop.ini =
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra Button: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra Button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra Button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) -
O16 - DPF: {207048D8-A40B-4505-AE24-92FF13BEB269} (myDancerCTL Class) -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://cnbabycrazy.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5C4B24C9-0EBC-46A5-B189-EEE3D218E1F9} (ChUpdateClass Class) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O16 - DPF: {BCA9A936-F557-408E-8301-D5B2B302EFD6} (SiUpdaterCtrl Class) -
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) -
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} -
O18 - Filter : application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll
O18 - Filter : application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll
O18 - Filter : application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\Mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\Mshtml.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\Mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\Mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\Mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\Mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O20 - Winlogon Notify: igfxcui
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Human Interface Device Access (HidServ) -  - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - "C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe"
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - "C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\Ravmond.exe"
O23 - Service: User Privilege Service (usprserv) - Microsoft Corporation - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Windows XP (Windows XP) -  - C:\WINDOWS\WinDir.exe

伪装的病毒iexplore.exe

--------------------------------------------------------------------------------

  作者：佚名
  来源：本站原创
  时间：2006年10月08日
  编辑：秋实  版
权
申
明
    部分特别声明不要转载、或者授权本站独家发布的文章，未经授权不要转载、摘编、复制或建立镜像； 大家可以自由转载本站的文章，但原作者和来自我站的链接必须保留。文章版权归本站和原作者共有。海南电脑服务网依法保护知识产权，如果我们的文章有涉及或侵犯您的有关权益，请即时与我们联系， 注明网址及文章，我们会即时处理或删除，感谢您的合作！ 

--------------------------------------------------------------------------------




系统进程－－伪装的病毒 iexplore.exe


iexplore.exe进程－－病毒
系统进程－－伪装的病毒iexplore.exe
1.系统进程中有iexplore.exe运行，注意，是小写字母
2.搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹，而是WINDOWS32文件夹。
解决办法：
1.到C:\\WINDOWS\\system32下找到iexplore.exe和psinthk.dll完全删除之。
2.到注册表中，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
\\Run“mssysint”=iexplore.exe,删除其键值</DIV></DIV>


求教,iexplore.exe病毒怎么杀

我的机子中有一个iexplore.exe进程和一个Explorer.exe进程，雅虎提示iexplore.exe为木马，在c:\programe files\Internet Explorer目录下，这个进程为隐藏进程，用冰刃、what's run等进程查看软件都看不到，我的系统为windows2000,怎么杀掉？


c:\programe files\Internet Explorer目录下的ie是真正的ie，应该没问题
貌似某版本的灰鸽子会启动一个iexplore.exe进程，并隐藏

还是用杀毒软件或者查木马的软件查查看吧

如果是灰鸽子，网上专杀和怎么手动清理的帖子也很多（瑞星上有一些不错的）
用hijackthis之类的查查看有没有多个服务出来，一般都要在安全模式下进行，勾掉隐藏文件，和受保护的系统文件，删掉服务和木马文件

瑞星卡卡社区的精华帖子
【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)
http://forum.ikaka.com/topic.asp?board=28&artid=7422438


如果不是病毒,它为什么隐藏呢?我进入安全模式把这个文件删掉了,然后从其它机子上拷一个IEXPLORE.EXE文件过来(人家机子上是大写字母),到我机子立即被改成了iexplore.exe,这是不是什么注入式病毒?

我的有时也会,那是你装的病毒软件的问题.你把那病毒软件删掉,重起,就没有了,我的就是这样.你用的是什么杀软,我装塞门铁克的时候发现的,你是不是开几个IE,就有几个iexplore.exe.装NOD32,卖咖啡,趋势,都没这问题.


总结一下

还是装个好点的杀毒软件吧

国内的kv之类的,用了效果都不怎么样

还是推荐麦咖啡杀毒软件.杀毒效果好.占用系统低.速度快.可升级!还免费,哈哈

下载地址参阅:

http://www.pjbbs.cn/bbs/ShowPost.asp?ThreadID=6347

友情提示!    这段时间病毒木马太多，还有流氓广告插件，用这个杀毒软件都可以自动杀掉的，非常不错哦！我们都用这个，呵~


<DIV class="f14 wr">进程中有两个 iexplore.exe
一个用户名是SYSTEM
另一个用户名是我的计算机名,已知道这个是ie浏览器的进程,
那么第一个是不是病毒?
</DIV><DIV class="f14 wr"> </DIV><DIV class="f14 wr"><DIV class="f14 wr">iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪，和访问本地Interanet网络。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分，这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒，该病毒会终止你的反病毒软件，和一些 Windows系统工具，该进程的安全等级是建议删除
这个东西可以说是病毒，也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE，但是它一般情况随系统被安装在C:\Program Files\Internet Explorer下面。那么，如果发现这个文件是在这个目录下面的，一般情况不是病毒，当然，不包括已经被感染了的情况；还有一种情况，就是 IEXPLORE.EXE在C:\WINDOWS\system32\下面，那么这个十有八九都是病毒。
如果你没开IE,一般不会出现iexplore.exe 的,如果有90%中招了～～～
中毒情况如下：浏览器被劫持了，或者病毒名为：IEXPL0RE.EXE，注意，这里是0，不是O
如果是病毒名为IEXPL0RE.EXE，进入安全模式或DOS，最新病毒库查杀，前提是杀毒软件不要太次。
如果是浏览器被劫持，在注册表里搜索所有RUN项，看看是否有可疑文件启动路径，还有搜索IEXPLORE.EXE，看看启动项后面是否有尾巴，也就是有跟随IEXPLORE.EXE启动的项目(例如IE后面跟随 C:\\windows\\system32\\***.exe或者.dll）。





IEXPLORE.EXE病毒,救救我啊..


操作系统：win2003server
发现异常前：因为在上网浏览网页，所以有可能中了病毒．



情况如下：
　　在上网浏览网页的时候，打开一个链接，网页内容还没有显示出来，却打开了类似CHM帮助文件这样的窗口，里面一片空白，过了没几秒钟就自动关闭了．江民杀毒软件提示有病毒，询问我如何*作．我选择了＂禁止＂一项．然后江民杀毒又提示我说＂mshta.exe改变了注册表＂．我也选择了＂禁止＂．．
　　然后电脑像死机一样，过了大概10秒左右．我打开任务管理器，发现里面有IEXPLORE.EXE这个进程，显示的用户名是：SYSTEM.（后来我手工双击ＩＥ图标打开，显示的也是这个进程名，但用户名是我登录电脑的用户名：administrator）
　　这时候，我根本就没有打开过ＩＥ浏览器，只是打开傲游浏览器，还有一个文件夹．于是我选择结束iexplore.exe这个进程，可是当我一结束这个进程，鼠标马上就变成在运行程序的样子，然后iexplore.exe 这个进程又自动加载了．
　　接下来我断开网络进入安全模式杀毒，没有发现任何异常．打开任务管理器，竟然也有IEXPLORE.EXE这个进程，同样也是结束它又自动加载起来．于是我打开超级兔子查看这个进程在硬盘上的物理路径，发现是ＩＥ本身（同时查看了自动运行项目，没有发现这个自启动项）．我打开ＩＥ的文件夹，更改了iexplore.exe为新的文件名：siexplores.aexes.．．
　　再重启电脑，不进行任何*作，直接打开任务管理器，没有发现任何异常进程，于是我就把之前改名的siexplores.aexes重新更名为iexplore.exe．但是当我一更文件名后，马上鼠标又变成运行程序的样式，任务管理器中就多了iexplore.exe这个进程．一样是结束掉又自动加载．我又把iexplore.exe重新更名，但是现在不管我改成什么文件名，马上ＩＥ的文件夹下就会自动多一个iexplore.exe文件，我再改，就再多一个这样的文件．




　　向各位大哥们求救啊．．．这到底是什么病毒或木马？这么顽固．．我的江民杀毒2005是升级到最新病毒库的，可是怎么查杀也没有发现任何异常．．．同时我还用了欧易互动的ＩＥ插件管理专家，超级兔子的ＩＥ专家，Hijackthis来进行查杀修复，但都没有发现iexplore.exe这个文件有异常．．．小弟先感谢各位大哥大姐们，，，求你们帮帮我吧，，，谢谢！！！

这个是我的LOG，和楼主的一样，中了IEXPLORE.EXE病毒。

还有，我的机子里面一直都有个病毒压缩包，C:\\WINDOWS\\system32\\smb.exe  每次删掉了以后，很快又有了

我今天把一个文本文件改名成smb.exe再加只读属性，能不能阻止木马发作？该怎么样才能完全杀毒哦！！

我什么杀毒软件都玩过，江民、瑞星都买过正版，只是对电脑不太了解，没办法防御木马，上个月听朋友介绍，找了个卡巴来装上，结果还是有木马，感觉卡巴并没有传说中那么厉害，而且*作也不如江民、瑞星，可能是不会用吧。


最近我的电脑也因为邻居孩子在我家上ＱＱ，不懂病毒，造成我的电脑也受其害！因为开不了浏览器，所以到处求救！
大家可以把系统重新安装，也可以用软盘进行Ｃ盘修复！ 还有最好的方法就是注册表修复！
我在别处看到这种办法，大家不妨一试，好了别谢我！应该谢教我们修复ＩＥ的这位网络大虾！


我现在就将他的方法发表如下：

1、使用资源管理器查看进程，注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒（或由病毒生成的后门软件），甚至其它的一切不常见的进程都有可能是，如果不能确定，找一台服务器上的进程来观察（服务器应该不会被感染）。

2、将病毒程序（后门）的进程结束掉，对于不能结束的，可以使用附件中的pskill.exe结束掉（命令格式“pskill 进程名”）。

3、打开“服务”，在服务列表中将没有“描述”服务进行筛选，查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务，依次删掉注册表中的

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK]

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe]

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension]

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service]

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(Run Services]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Run Services]……的相关的健值(还有WinVNC的进程，没有记住是什么健值)

4、删掉[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg]

　　[HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值，

5、并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值为” %SystemRoot%\system32\NOTEPAD.EXE %1”,此时，.txt的文件无法正常打开，可以点击文本文件的右键选择其它方式，选择使用Notepad即可。

6、删掉系统system32目录下的以下程序（大部分可执行程序的大小都为78,848字节）： winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、 rpcsrv.exe 、 iexplore.exe 、 prom0n.exe（注意中间的是数字0） 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe

7、清空“C:\Do***ents and Settings\Default User（或Default Uesr..WINNT）\Local Settings\Temporary Internet Files\Content.IE5”目录下除了“desktop.ini”的所有文件，该路径下，发现有一些后门软件。

8、关闭所有目录的完全共享！――这是关闭了该程序还可以通过网络感染的途径。

9、重新启动计算机，观察是否还有类似进程出现，尤其是irftpd.exe，这个程序是由上述第3步的“服务”程序自动生成的。iexplore.exe进程－－病毒