【求助】进程里有多个IE进程 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】进程里有多个IE进程

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

【求助】进程里有多个IE进程

help1 初生襁褓狮帖子:1 注册: 2007-01-07 来自:	发表于： 2007-01-07 16:07 \| 只看楼主短消息资料字号：小中大 1楼【求助】进程里有多个IE进程 HijackThis_815汉化版扫描日志 V1.99.1 保存于 15:44:02, 日期 2007-1-7 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe D:\pyjj\jj4\jiajiasr.exe C:\WINDOWS\system32\nvsvc32.exe C:\DOCUME~1\lqm\LOCALS~1\Temp\procexp.exe D:\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\explorer.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\conime.exe E:\qzj\1\Vcrmon.exe E:\qzj\Vcr32.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\DOCUME~1\lqm\LOCALS~1\Temp\Rar$EX00.110\360safe_3.0\safelive.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\taskmgr.exe D:\rar\WinRAR.exe C:\DOCUME~1\lqm\LOCALS~1\Temp\Rar$EX00.547\HijackThis1991zww.exe O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - 启动项HKLM\\Run: [C-Media Mixer] Mixer.exe /startup O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [jiajiasr] D:\pyjj\jj4\jiajiasr.exe O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\qq\AddToNetDisk.htm O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\qq\AddPanel.htm O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\qq\AddEmotion.htm O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\qq\SendMMS.htm O10 - 未知的文件在 Winsock LSP: c:\windows\system32\drwebsp.dll O10 - 未知的文件在 Winsock LSP: c:\windows\system32\drwebsp.dll O10 - 未知的文件在 Winsock LSP: c:\windows\system32\drwebsp.dll O10 - 未知的文件在 Winsock LSP: c:\windows\system32\drwebsp.dll O14 - IERESET.INF: START_PAGE_URL=about:blank O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - NT 服务: Virus Chaser Spider NT (spidernt) - Unknown owner - C:\Documents and Settings\lqm\桌面\qzj\Spidernt.exe (file missing) 正常不???(因为马马都喜欢插默认浏览器,一看这么多IE怕怕) 2007-01-07 18:46:44
help1 初生襁褓狮帖子:1 注册: 2007-01-07 来自:	分享到：

yqlikaka 叱咤花甲狮帖子:4469 注册: 2007-01-05 来自:蓉城	发表于： 2007-01-07 16:51 \| 短消息资料字号：小中大 2楼斑竹来回答下嘛，我也怀疑呢，到底多个IE不全是病毒吧
yqlikaka 叱咤花甲狮帖子:4469 注册: 2007-01-05 来自:蓉城

水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:	发表于： 2007-01-07 16:55 \| 短消息资料字号：小中大 3楼 mizuki.ys168.com下载sreng2扫个日志上来，一次贴不完分段贴，不要修改
水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:

我的心在笑初生襁褓狮帖子:19 注册: 2005-03-04 来自:	发表于： 2007-01-07 17:03 \| 短消息资料字号：小中大 4楼问题解决了吗，我跟你的一样，肯定是种病毒了。急等高手来解决
我的心在笑初生襁褓狮帖子:19 注册: 2005-03-04 来自:

swfans 拙长孩提狮帖子:61 注册: 2006-05-26 来自:	发表于： 2007-01-07 17:14 \| 短消息资料字号：小中大 5楼估计是twunk32.exe这种木马我前几天刚杀掉 1.重启进安全模式。(开机按F8) 2.用SREng清除启动项目注册表里的 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <twin><C:\WINDOWS\system32\twunk32.exe> [N/A] 和启动项目服务里的 [Windows DHCP Service / WinDHCPsvc] <C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>(如果有的话) SREng的下载和用法http://www.kztechs.com/sreng/ 用之前最好先看看。 3.用强制删除工具PowerRmv删除 C:\WINDOWS\system32\windhcp.ocx C:\WINDOWS\system32\twunk32.exe 这两个文件有时不是都有的，所以没有的话也不用着急。删除的时候最好把抑制文件再次生成选上。 PowerRmv的下载地址 http://www.xdowns.com/soft/8/21/2006/Soft_30505.html 4.把QQ用优化大师卸载，因为QQ文件夹里的TIMPlatform.exe已经被替换，如果你的文件夹选项是显示全部文件的话可以看见TIMPlatform.exe已经被隐藏，而在外面的是TIMPlatfrom.exe
swfans 拙长孩提狮帖子:61 注册: 2006-05-26 来自:

高歌猛进初生襁褓狮帖子:2377 注册: 2006-10-09 来自:	发表于： 2007-01-07 17:54 \| 短消息资料字号：小中大 6楼 C:\Program Files\Internet Explorer\IEXPLORE.EXE这个进程对应你的桌面，如果没开桌面就有这个进程，是病毒，贴SR日志上来
高歌猛进初生襁褓狮帖子:2377 注册: 2006-10-09 来自:

spiritfire 锋芒艾服狮帖子:1266 注册: 2006-10-22 来自:	发表于： 2007-01-07 18:35 \| 短消息资料字号：小中大 7楼汗！光看HJ就能看出是这个马？
spiritfire 锋芒艾服狮帖子:1266 注册: 2006-10-22 来自:

强化毛毛虫快乐黄口狮帖子:132 注册: 2004-10-11 来自:	发表于： 2007-01-07 18:50 \| 短消息资料字号：小中大 8楼用4楼说的方法就可以解决了，谢谢4楼的大哥了
强化毛毛虫快乐黄口狮帖子:132 注册: 2004-10-11 来自:

强化毛毛虫快乐黄口狮帖子:132 注册: 2004-10-11 来自:	发表于： 2007-01-07 18:55 \| 短消息资料字号：小中大 9楼该木马运行后生成： C:\windows\system32\twunk32.exe C:\windows\system32\drivers\usbme.sys 并重命名QQ目录下的TIMPlatform.exe为TIMPlatfrom.exe，复制自身为TIMPlatform.exe（大小25536 字节，隐藏、系统文件属性）添加注册表启动项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Run "twin"="C:\windows\system32\twunk32.exe" 手工清除方法： 1.删除病毒添加的启动项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Run "twin"="C:\windows\system32\twunk32.exe" 2.重新启动系统！ 3.删除病毒文件： C:\windows\system32\twunk32.exe C:\windows\system32\drivers\usbme.sys 并删除QQ目录下的TIMPlatform.exe（大小25536 字节，隐藏、系统文件属性）重命名TIMPlatfrom.exe为TIMPlatform.exe 这个木马还是比较可恶的，利用了QQ运行后启动TIMPlatform.exe，达到再次感染！
强化毛毛虫快乐黄口狮帖子:132 注册: 2004-10-11 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT