瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 新版微软IE浏览器,是不是病毒,本贴内有详细症状说明。

1   1  /  1  页   跳转

新版微软IE浏览器,是不是病毒,本贴内有详细症状说明。

收藏
瘟神之黑夜游荡
头像
初生襁褓狮
  • 帖子:59
  • 注册: 2006-10-28
  • 来自:
发表于: 2007-06-04 03:03 | 只看楼主 短消息 资料
字号: 1楼

新版微软IE浏览器,是不是病毒,本贴内有详细症状说明。

我安装了Macthon浏览器。
于是屏蔽了Windows自带的浏览器。
后来出现两个故障:
1).QQ空间点击,进程中多了Qzone.exe的进程,但是不自动打开网页,浏览器不理会;
2).无法下载微软的IE补丁。

之后我做以下处理:
1).解除Windows自带IE浏览器的屏蔽设置,重新起用IE浏览器。(发现IE浏览器有新版本。)
2).自动下载新版本:“IE7-WindowsXP-x86-chs”
3).安装新版本IE。

主动防御程序大量报告,该软件大量修改系统启动项。(因为是微软发布的,所以我就全部“允许”。但是没有将此程序加进信赖列表)
程序要求重新启动电脑。接受。

重起后我手动查看C盘变动:
1).原C盘Windows自带IE浏览器文件夹已经被删除?(消失了,而且我查看了隐藏的文件夹,的确没有了。)
2).面有新程序“IEXPLORE.EXE”。地址改成了“桌面”。
3).点击该程序,主动防御报告“C:\WINDOWS\system32\verclsid.exe”HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command(默认)没有键入值
4).进程中多了verclsid.exe进程,切电脑桌面卡死不能操作。
5).结束进程verclsid.exe,一切恢复正常,桌面上新建了IEXPLORE.EXE的快捷方式。
6).再次测试,点击该程序或快捷键,主动防御程序均爆上面的报告。无论选择允许或拒绝,该进程都立刻产生,并卡死桌面。
7).查看进程verclsid.exe地址,发现是“/S /C {871C5380-42AO-1069-A2EA-08002B30309D}”
8).选种桌面上的该程序及其快捷键,点击Delete键,删除。桌面卡死,主动防御再次报错,且无法看到是否删除对话框。结束进程中该程序,桌面恢复,可看到是否删除对话框。
9).在进程里点选verclsid.exe进程,并选打开所在目录。主动防御报错,并同时卡死机,所有程序无法操作,手动重起电脑。
最后编辑2007-06-04 16:52:06
分享到:
gototop
 
瘟神之黑夜游荡
头像
初生襁褓狮
  • 帖子:59
  • 注册: 2006-10-28
  • 来自:
发表于: 2007-06-04 03:21 | 只看楼主 短消息 资料
字号: 2楼

打开SREng。
启动项多了一个:
名字:IE7 Uninstall Stub
数据:C:\WINDOWS\system32\ieudinit.exe
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Componets\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}


开始进行智能扫描。

勾选:
所有的启动项目(包括注册表、启动文件夹、服务等)
浏览器加载项
正在运行的进程(包括进程模块信息)
文件关联
Winsock提供者
Autorun.inf
HOSTS文件

勾选:
检查进程模块的数字签名
自动将可疑文件复制到 SuspiciousFiles 子目录里面
gototop
 
瘟神之黑夜游荡
头像
初生襁褓狮
  • 帖子:59
  • 注册: 2006-10-28
  • 来自:
发表于: 2007-06-04 03:24 | 只看楼主 短消息 资料
字号: 3楼



[复制到剪贴板]
CODE:


2007-06-04,03:04:39

System Repair Engineer 2.4.12.806
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件


启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
    <NvMediaCenter><RunDLL32.exe NvMCTray.dll,NvTaskbarInit>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
    <kav><"C:\cf\WINDOWS\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe">  [Kaspersky Lab]
    <TkBellExe><"C:\Real\Update_OB\realsched.exe"  -osboot>  [(Verified)"RealNetworks, Inc."]
    <KnightIII><>  [N/A]
    <360Safetray><C:\cf\Program Files\360safe\safemon\360Tray.exe /start>  [奇虎网]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
    <IE7 Uninstall Stub><C:\WINDOWS\system32\ieudinit.exe>  [(Verified)Microsoft Windows Publisher]

==================================
启动文件夹
N/A

==================================
服务
[卡巴斯基反病毒6.0 / AVP][Running/Auto Start]
  <"C:\cf\WINDOWS\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r><Kaspersky Lab>
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[NVIDIA Display Driver Service / NVSvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\nvsvc32.exe><N/A>
[StarWind iSCSI Service / StarWindService][Stopped/Auto Start]
  <C:\cf\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe><N/A>

==================================
驱动程序
[Rising TDI Base Driver / BaseTDI][Running/Auto Start]
  <System32\DRIVERS\BaseTDI.SYS><Beijing Rising Technology Co., Ltd.>
[VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver / FETNDIS][Stopped/Manual Start]
  <system32\DRIVERS\fetnd5.sys><VIA Technologies, Inc.>
[VIA Rhine Family Fast Ethernet Adapter Driver Service / FETNDISB][Running/Manual Start]
  <system32\DRIVERS\fetnd5b.sys><VIA Technologies, Inc.>
[Microsoft UAA Bus Driver for High Definition Audio / HDAudBus][Running/Manual Start]
  <system32\DRIVERS\HDAudBus.sys><Windows (R) Server 2003 DDK provider>
[Service for Realtek HD Audio (WDM) / IntcAzAudAddService][Running/Manual Start]
  <system32\drivers\RtkHDAud.sys><Realtek Semiconductor Corp.>
[kl1 / kl1][Running/Boot Start]
  <\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>
[klif / klif][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
  <system32\drivers\npf.sys><Politecnico di Torino>
[npkcrypt / npkcrypt][Running/Auto Start]
  <\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
[NTSIM / NTSIM][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\ntsim.sys><VIA Networking Technologies, Inc.>
[nv / nv][Running/Manual Start]
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[PxHelp20 / PxHelp20][Running/Boot Start]
  <\SystemRoot\System32\Drivers\PxHelp20.sys><Sonic Solutions>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[sptd / sptd][Running/Boot Start]
  <\SystemRoot\System32\Drivers\sptd.sys><N/A>
[ViaIde / ViaIde][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\viaide.sys><Microsoft Corporation>
[viamraid / viamraid][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\viamraid.sys><VIA Technologies inc,.ltd>

==================================
浏览器加载项
[ThunderAtOnce Class]
  {01443AEC-0FD1-40fd-9C87-E93D1494C233} <D:\迅雷\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD>
[IeHelper Class]
  {0D42E1BD-09DD-4873-A826-9C7E793EB7B6} <d:\迅雷\Thunder\Components\ResWorker\DSIeHelper.dll, Thunder Networking Technologies,LTD>
[Thunder Browser Helper]
  {4E83D566-4697-4F7B-B1F0-A513B01DB89A} <D:\迅雷\Thunder\ComDlls\xunleiBHO_Now.dll, Thunder Networking Technologies,LTD>
[NavigatMon Class]
  {B69F34DD-F0F9-42DC-9EDD-957187DA688D} <C:\cf\Program Files\360safe\safemon\safemon.dll, >
[启动迅雷5]
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <d:\迅雷\Thunder\Thunder.exe, Thunder Networking Technologies,LTD>
[浩方对战平台]
  {0A155D3C-68E2-4215-A47A-E800A446447A} <D:\浩方对战平台\GameClient.exe, 上海浩方在线信息技术有限公司>
[Office Genuine Advantage Validation Tool]
  {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} <C:\WINDOWS\system32\OGACheckControl.DLL, >
[Windows Genuine Advantage Validation Tool]
  {17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, Microsoft Corporation>
[EditCtrl Class]
  {488A4255-3236-44B3-8F27-FA1AECAA8844} <C:\WINDOWS\system32\aliedit\aliedit.dll, >
[AxSubmitControl Class]
  {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} <C:\WINDOWS\DOWNLO~1\CONFLICT.1\SUBMIT~1.DLL, >
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[PhotoUploadCtrlMini Control]
  {D9306BD1-2325-4C28-8632-B02330C1BB02} <C:\WINDOWS\system32\PHOTOU~1.OCX, 广州网易互动娱乐有限公司>
[ThunderAtOnce Class]
  {01443AEC-0FD1-40FD-9C87-E93D1494C233} <D:\迅雷\Thunder\ComDlls\TDAtOnce_Now.dll, Thunder Networking Technologies,LTD>
[IeHelper Class]
  {0D42E1BD-09DD-4873-A826-9C7E793EB7B6} <d:\迅雷\Thunder\Components\ResWorker\DSIeHelper.dll, Thunder Networking Technologies,LTD>
[Windows Genuine Advantage Validation Tool]
  {17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, Microsoft Corporation>
[Thunder Browser Helper]
  {4E83D566-4697-4F7B-B1F0-A513B01DB89A} <D:\迅雷\Thunder\ComDlls\xunleiBHO_Now.dll, Thunder Networking Technologies,LTD>
[NavigatMon Class]
  {B69F34DD-F0F9-42DC-9EDD-957187DA688D} <C:\cf\Program Files\360safe\safemon\safemon.dll, >
[使用迅雷下载]
  <D:\迅雷\Thunder\Program\geturl.htm, N/A>
[使用迅雷下载全部链接]
  <D:\迅雷\Thunder\Program\getallurl.htm, N/A>

==================================
正在运行的进程
[PID: 708][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 776][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1704][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\cf\Program Files\360safe\safemon\safemon.dll]  [, 3, 2, 0, 1001]
[PID: 1308][C:\WINDOWS\system32\RunDLL32.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\NvMCTray.dll]  [NVIDIA Corporation, 6.14.10.9131]
    [C:\WINDOWS\system32\NVRSZHC.DLL]  [NVIDIA Corporation, 6.14.10.9131]
[PID: 1388][C:\Real\Update_OB\realsched.exe]  [RealNetworks, Inc., 0.1.0.3760]
[PID: 1400][C:\cf\Program Files\360safe\safemon\360Tray.exe]  [奇虎网, 3, 3, 0, 1005]
    [C:\cf\Program Files\360safe\safemon\safemon.dll]  [, 3, 2, 0, 1001]
    [C:\cf\Program Files\360safe\safemon\SafeKrnl.dll]  [奇虎网, 3, 2, 0, 1001]
    [C:\cf\Program Files\360safe\AntiAdwa.dll]  [360Safe.com, 3, 3, 0, 1004]
[PID: 1864][C:\Program Files\Maxthon\Maxthon.exe]  [Maxthon International Ltd., 1, 6, 1, 22]
    [C:\Program Files\Maxthon\maxzlib.dll]  [ , 1, 0, 0, 2]
    [C:\cf\Program Files\360safe\safemon\safemon.dll]  [, 3, 2, 0, 1001]
    [D:\迅雷\Thunder\ComDlls\xunleiBHO_Now.dll]  [Thunder Networking Technologies,LTD, 5, 0, 2, 17]
    [C:\Program Files\Maxthon\Services\RealTime\real_time.dll]  [, 1, 0, 0, 1]
    [C:\cf\WINDOWS\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scr_ch_pg.dll]  [Kaspersky Lab, 1.0.6.299]
    [C:\cf\WINDOWS\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\klscav.dll]  [Kaspersky Lab, 6.0.0.299]
    [C:\cf\WINDOWS\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\pr_remote.dll]  [Kaspersky Lab, 6.0.0.299]
    [C:\cf\WINDOWS\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prloader.dll]  [Kaspersky Lab, 6.0.0.299]
    [C:\cf\WINDOWS\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prkernel.ppl]  [Kaspersky Lab, 6.0.0.304]
    [c:\cf\windows\program files\kaspersky lab\kaspersky anti-virus 6.0\params.ppl]  [Kaspersky Lab, 6.0.0.299]
    [c:\cf\windows\program files\kaspersky lab\kaspersky anti-virus 6.0\pxstub.ppl]  [Kaspersky Lab, 6.0.0.299]
    [c:\cf\windows\program files\kaspersky lab\kaspersky anti-virus 6.0\tempfile.ppl]  [Kaspersky Lab, 6.0.0.299]
    [c:\cf\windows\program files\kaspersky lab\kaspersky anti-virus 6.0\nfio.ppl]  [Kaspersky Lab, 6.0.0.299]
    [c:\cf\windows\program files\kaspersky lab\kaspersky anti-virus 6.0\fsdrvplgn.ppl]  [Kaspersky Lab, 6.0.0.299]
    [C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx]  [Adobe Systems, Inc., 9,0,28,0]
    [C:\WINDOWS\system32\Macromed\Common\SwSupport.dll]  [Adobe Systems, Inc., 10.1.4r20]
[PID: 2120][D:\SREng\SREng.exe]  [Smallfrogs Studio, 2.4.12.806]
    [C:\cf\Program Files\360safe\safemon\safemon.dll]  [, 3, 2, 0, 1001]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
N/A

==================================
API HOOK
RVA  错误: LoadLibraryA (危险等级: 高,  被下面模块所HOOK: Dest Addr: 0xF4E0CB25)
RVA  错误: LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: Dest Addr: 0xF4E0CD67)
RVA  错误: LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: Dest Addr: 0xF4E0CF0B)
RVA  错误: LoadLibraryW (危险等级: 高,  被下面模块所HOOK: Dest Addr: 0xF4E0CC49)
RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: Dest Addr: 0xF4E0CE8F)

==================================
隐藏进程
N/A

==================================
gototop
 
红夜鬼1
头像
横据古稀狮
  • 帖子:8602
  • 注册: 2006-10-18
  • 来自:
发表于: 2007-06-04 07:57 | 短消息 资料
字号: 4楼

verclsid.exe到安全模式下删除试过没有,不行的话请用冰刃
gototop
 
中國銀行
头像
初生襁褓狮
  • 帖子:110
  • 注册: 2007-01-16
  • 来自:
发表于: 2007-06-04 17:02 | 短消息 资料
字号: 5楼

應該不很兼容

最好考慮下系統自帶的!
gototop
 
xp123
头像
初生襁褓狮
  • 帖子:1151
  • 注册: 2006-06-14
  • 来自:
发表于: 2007-06-04 23:05 | 短消息 资料
字号: 6楼

verclsid.exe和这个KB908531有关,它好象是微软的更新程序,在控制面版把他卸了应该就好了,要够选"显示更新才能看到"
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT