explorer.exe中病毒 - IT home | IT之家 - SiS001! Board

VIP可享有论坛特权，免看广告，负分归零，重新加分开始！「我要成为VIP」

bananajuice 发表于 2006-12-24 23:43 只看TA 11楼
也有可能是木马作怪吧.我的机器是金山毒霸加木马清道夫,用的好好地.少一样我的机器就中招.也许楼主开少一点不认识的古怪网站也能预防IE中毒或木马.
0

用户名： bananajuice 用户组：LEVEL 5 状态：离线互动：发短消息发帖：搜索帖子

fc7615 发表于 2006-12-25 00:06 只看TA 12楼
这个病毒没有其他的方法，只有重状系统，因为explorer.exe是系统必要文件，删掉就没有桌面了
0

用户名： fc7615 用户组：LEVEL 7 状态：离线互动：发短消息发帖：搜索帖子

fc7615 发表于 2006-12-25 00:08 只看TA 13楼
对于可能受红色蠕虫病毒感染的计算机系统，包括安装有IIS 4.0或者IIS 5.0的Microsoft Windows NT 4.0和Windows 2000的主机，需要采取以下措施进行病毒预防和病毒感染处理。一、立即采取以下两种安全防范措施之一，预防红色蠕虫病毒感染。方法1：从微软的网站下载打补丁软件，地址为：　　　http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 　　　或者从CCERT的网站下载打补丁软件，地址为：　　　对Windows NT：ftp://ftp.ccert.edu.cn/pub/CHSQ300972i.exe 　　　对Win2000：ftp://ftp.ccert.edu.cn/pub/Q300972_W2k_SP3_x86_cn.exe 方法2：把%windowsdir%\system32中的idq.dll做备份，然后删除。二、检察系统是否已被感染红色蠕虫病毒。如果在系统文件中发现有下列后门（木马）程序：C:\explorer.exe，D:\explorer.exe，则说明系统已经被病毒感染。三、对于已经感染病毒的主机，按以下步骤手工消除病毒：　　(1) 将该机器从网络上断开，以避免重复感染和感染其它机器。　　(2) 立即停止IIS服务。打开控制面板，打开"服务"，点击World Wide Web Publishing Service. 选择"已禁用"。　　(3) 打开任务管理器，选择"进程"。检查是否进程中有两个"exploer.exe".如果您找到两个"exploer.exe"，说明木马已经在您的机器上运行了，您应当立刻杀掉木马程序；否则，说明您还没有执行木马程序，您可以转到第四步。　　(4) 在菜单中选择查看\| 选定列 \| 线程计数，按确定。这时您会发现显示框中增加了新的一列"线程数"。检查两个"exploer.exe", 显示只有一个线程的"exploer.exe "就是木马程序。您应当立刻结束这个进程。　　(5) 重新启动机器，运行cmd，在cmd窗口中运行以下命令（或下载批处理文件　ftp://ftp.ccert.edu.cn/pub/clean.bat），以删除蠕虫病毒留下的后门。　　　　C: 　　　　CD C:\ 　　　　ATTRIB -h -s -r explorer.exe 　　　　Del explorer.exe 　　　　Del C:\inetpub\scripts\root.exe 　　　　Del C:\progra~1\Common~1\System\MSADC\Root.exe 　　　　D: 　　　　CD D:\ 　　　　Attrib -h -s -r explorer.exe 　　　　Del explorer.exe 　　　　Del D:\inetpub\scripts\root.exe 　　　　Del D:\progra~1\Common~1\System\MSADC\Root.exe 　　　　忽略其中任何错误。 (6) 修改被蠕虫改动过的注册表：　　运行regedit 　　选择：　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ 　　Services\W3SVC\Parameters\Virtual Roots 　　选择/C,选择删除；选择/D, 选择删除。　　选择：/MSADC，将217换为201。　　选择：/scripts，将271换为201。　　对于Windows 2000系统，需要打开： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon 　　将SFCDisable改为0。 (7) 重新启动机器。四、推荐采用微软公司提供的工具软件消除病毒，方法如下：　　(1) 从下列地址下载此工具：　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878 　　或　ftp://ftp.ccert.edu.cn/pub/CodeRedCleanup.exe 　　(2) 在命令行窗口中运行： c:\> CodeRedCleanup.exe 　　或者 c:\> CodeRedCleanup.exe -disable (如果您不需要IIS服务) 　　(3) 重新启动系统　　(4) 安装补丁或者采取其他解决措施　　(5) 再次运行此清除程序，以防止重新启动后再次被蠕虫感染。　　(6) 重新启动系统。五、参考网站　　[1.] eEye 的分析报告：　http://www.eeye.com/html/advisories/coderedII.zip 　　[2.] CERT Incident Note IN-2001-09 ：　http://www.cert.org/incident_notes/IN-2001-09.html 　　[3.] Symantec CodeRed.v3：　http://www.sarc.com/avcenter/venc/data/codered.v3.html 　　[4.] 【绿盟紧急安全公告】防范"CodeRedII"蠕虫! http://security.nsfocus.com/showQueryL.asp?libID=580
0

fc7615 发表于 2006-12-25 00:08 只看TA 13楼

对于可能受红色蠕虫病毒感染的计算机系统，包括安装有IIS 4.0或者IIS 5.0的Microsoft Windows NT 4.0和Windows 2000的主机，需要采取以下措施进行病毒预防和病毒感染处理。

一、立即采取以下两种安全防范措施之一，预防红色蠕虫病毒感染。

方法1：从微软的网站下载打补丁软件，地址为：
　　　http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
　　　或者从CCERT的网站下载打补丁软件，地址为：
　　　对Windows NT：ftp://ftp.ccert.edu.cn/pub/CHSQ300972i.exe
　　　对Win2000：ftp://ftp.ccert.edu.cn/pub/Q300972_W2k_SP3_x86_cn.exe

方法2：把%windowsdir%\system32中的idq.dll做备份，然后删除。

二、检察系统是否已被感染红色蠕虫病毒。如果在系统文件中发现有下列后门（木马）程序：C:\explorer.exe，D:\explorer.exe，则说明系统已经被病毒感染。

三、对于已经感染病毒的主机，按以下步骤手工消除病毒：
　　(1) 将该机器从网络上断开，以避免重复感染和感染其它机器。

　　(2) 立即停止IIS服务。打开控制面板，打开"服务"，点击World Wide Web Publishing Service. 选择"已禁用"。

　　(3) 打开任务管理器，选择"进程"。检查是否进程中有两个"exploer.exe".如果您找到两个"exploer.exe"，说明木马已经在您的机器上运行了，您应当立刻杀掉木马程序；否则，说明您还没有执行木马程序，您可以转到第四步。

　　(4) 在菜单中选择查看| 选定列 | 线程计数，按确定。这时您会发现显示框中增加了新的一列"线程数"。检查两个"exploer.exe", 显示只有一个线程的"exploer.exe "就是木马程序。您应当立刻结束这个进程。

　　(5) 重新启动机器，运行cmd，在cmd窗口中运行以下命令（或下载批处理文件　ftp://ftp.ccert.edu.cn/pub/clean.bat），以删除蠕虫病毒留下的后门。
　　　　C:
　　　　CD C:\
　　　　ATTRIB -h -s -r explorer.exe
　　　　Del explorer.exe
　　　　Del C:\inetpub\scripts\root.exe
　　　　Del C:\progra~1\Common~1\System\MSADC\Root.exe
　　　　D:
　　　　CD D:\
　　　　Attrib -h -s -r explorer.exe
　　　　Del explorer.exe
　　　　Del D:\inetpub\scripts\root.exe
　　　　Del D:\progra~1\Common~1\System\MSADC\Root.exe
　　　　忽略其中任何错误。

(6) 修改被蠕虫改动过的注册表：
　　运行regedit
　　选择：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
　　Services\W3SVC\Parameters\Virtual Roots
　　选择/C,选择删除；选择/D, 选择删除。
　　选择：/MSADC，将217换为201。
　　选择：/scripts，将271换为201。
　　对于Windows 2000系统，需要打开：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
　　将SFCDisable改为0。

(7) 重新启动机器。

四、推荐采用微软公司提供的工具软件消除病毒，方法如下：
　　(1) 从下列地址下载此工具：
　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
　　或
　ftp://ftp.ccert.edu.cn/pub/CodeRedCleanup.exe
　　(2) 在命令行窗口中运行：
c:\> CodeRedCleanup.exe
　　或者
c:\> CodeRedCleanup.exe -disable (如果您不需要IIS服务)
　　(3) 重新启动系统
　　(4) 安装补丁或者采取其他解决措施
　　(5) 再次运行此清除程序，以防止重新启动后再次被蠕虫感染。
　　(6) 重新启动系统。

五、参考网站
　　[1.] eEye 的分析报告：　http://www.eeye.com/html/advisories/coderedII.zip
　　[2.] CERT Incident Note IN-2001-09 ：　http://www.cert.org/incident_notes/IN-2001-09.html
　　[3.] Symantec CodeRed.v3：　http://www.sarc.com/avcenter/venc/data/codered.v3.html
　　[4.] 【绿盟紧急安全公告】防范"CodeRedII"蠕虫!
http://security.nsfocus.com/showQueryL.asp?libID=580

用户名： fc7615 用户组：LEVEL 7 状态：离线互动：发短消息发帖：搜索帖子

fc7615 发表于 2006-12-25 00:19 只看TA 14楼
Trojan-Spy.Win32.Qeds.a分析病毒名称：Trojan-Spy.Win32.Qeds.a(kaspersky)　　　　病毒别名： W32/Qeds!keylog (McAfee),I-Worm/QQ.Porn(江民),Worm.QQ.TopFox(瑞星) 影响系统：Windows系统　威胁级别：★★ 基本特征：病毒长度20480字节，为蠕虫病毒，通过在线QQ发送病毒文件，以色情字样作为引诱。病毒运行后会从黑客网站下载另一病毒Trojan.Win32.VB.xb，后者主要任务在于窃取密码，即国内熟知的“密码结巴”。鉴于其较广传播，且破坏系统文件，危害程度被评为二星。病毒行为： 1、创建如下病毒文件 %SystemDir%\wbem\dhelp.dll, 20480字节 %SystemDir%\dhelp.dll, 20480字节 %SystemDir%\wmimgr.exe, 20480字节远程下载Trojan.Win32.VB.xb病毒，用以窃取密码 %SystemDir%\comime.exe, 49576字节 %SystemDir%\msinthk.dll, 6656字节 2、添加如下注册表项目，实在自动启动 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run mssysint "comime.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows Management Instrumentation "wmimgr.exe" 其中，还会添加一个HKEY_LOCAL_MACHINE\SOFTWARE\TopFox项，作为病毒感染的一个标志。 3、修改系统设置，使用户无法使用任务管理器和注册表 4、修改本机计算机以下文件，使这些文件被运行时会启动"DHelp.dll"文件，以达到病毒自启动的目的： 1.%WINDIR%\EXPLORER.EXE 2.%WINDIR%\NOTEPAD.EXE 3.C:\Program Files\IEXPLORE.EXE 4.%SYSDIR%\DllCACHE\EXPLORER.EXE 5.%SYSDIR%\DllCACHE\NOTEPAD.EXE 6.%SYSDIR%\DllCACHE\IEXPLORE.EXE 5、DHelp.dll不是一个动态库文件，而是一个可执行文件，当病毒感染成功后，会自动寻找到QQ安装目录，每次运行QQ也会运行病毒。 6、通过QQ发送病毒，名称有以下可能（不逐一枚举）：蔡依林短裙显诱惑 [转帖][贴图] 美女超短裙被刮破的那一刻! 推荐-很珍贵历史照片：估计9成人没看到过[23P] 极度诱惑！真正的美女并不是脱光了衣服才够靓！超辣的酒店小姐你怕吗？时尚、成熟、风韵、妩媚、性感真实网友美眉在浴室自拍（没穿衣服）美少女做爱十八式哦。《这就是人体艺术！》青春靓丽的极品美女－不看别后悔超清晰极限美图！大师级作品 “一脱成名”：台湾三级女星十年兴衰美人脱衣全过程[抵制日货但是不要抵制日本美女] MM走光令人喷血美女走光才完美 ......等 7、病毒创建的msinthk.dll文件（6656字节），由comime.exe（49576字节）释放后插入QQ进程，实现截获QQ窗口发送病毒文件，并导致用户不能关闭QQ聊天窗口。，上面帖子不算，楼主还是老实重装吧，估计快些晕了本帖最近评分记录 hawk44 金币 +10 你的解答我看不懂 2006-12-25 08:59
0

fc7615 发表于 2006-12-25 00:19 只看TA 14楼

Trojan-Spy.Win32.Qeds.a分析

病毒名称：Trojan-Spy.Win32.Qeds.a(kaspersky)　　　　

病毒别名： W32/Qeds!keylog (McAfee),I-Worm/QQ.Porn(江民),Worm.QQ.TopFox(瑞星)

影响系统：Windows系统　威胁级别：★★

基本特征：病毒长度20480字节，为蠕虫病毒，通过在线QQ发送病毒文件，以色情字样作为引诱。病毒运行后会从黑客网站下载另一病毒Trojan.Win32.VB.xb，后者主要任务在于窃取密码，即国内熟知的“密码结巴”。鉴于其较广传播，且破坏系统文件，危害程度被评为二星。

病毒行为：

1、创建如下病毒文件
%SystemDir%\wbem\dhelp.dll, 20480字节
%SystemDir%\dhelp.dll, 20480字节
%SystemDir%\wmimgr.exe, 20480字节

远程下载Trojan.Win32.VB.xb病毒，用以窃取密码
%SystemDir%\comime.exe, 49576字节
%SystemDir%\msinthk.dll, 6656字节

2、添加如下注册表项目，实在自动启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run mssysint "comime.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows Management Instrumentation "wmimgr.exe"
其中，还会添加一个HKEY_LOCAL_MACHINE\SOFTWARE\TopFox项，作为病毒感染的一个标志。

3、修改系统设置，使用户无法使用任务管理器和注册表

4、修改本机计算机以下文件，使这些文件被运行时会启动"DHelp.dll"文件，以达到病毒自启动的目的：
1.%WINDIR%\EXPLORER.EXE
2.%WINDIR%\NOTEPAD.EXE
3.C:\Program Files\IEXPLORE.EXE
4.%SYSDIR%\DllCACHE\EXPLORER.EXE
5.%SYSDIR%\DllCACHE\NOTEPAD.EXE
6.%SYSDIR%\DllCACHE\IEXPLORE.EXE

5、DHelp.dll不是一个动态库文件，而是一个可执行文件，当病毒感染成功后，会自动寻找到QQ安装目录，每次运行QQ也会运行病毒。

6、通过QQ发送病毒，名称有以下可能（不逐一枚举）：
蔡依林短裙显诱惑 [转帖][贴图]
美女超短裙被刮破的那一刻!
推荐-很珍贵历史照片：估计9成人没看到过[23P]
极度诱惑！
真正的美女并不是脱光了衣服才够靓！
超辣的酒店小姐你怕吗？
时尚、成熟、风韵、妩媚、性感
真实网友美眉在浴室自拍（没穿衣服）
美少女做爱十八式哦。
《这就是人体艺术！》
青春靓丽的极品美女－不看别后悔
超清晰极限美图！大师级作品
“一脱成名”：台湾三级女星十年兴衰
美人脱衣全过程[抵制日货
但是不要抵制日本美女]
MM走光令人喷血
美女走光才完美
......等

7、病毒创建的msinthk.dll文件（6656字节），由comime.exe（49576字节）释放后插入QQ进程，实现截获QQ窗口发送病毒文件，并导致用户不能关闭QQ聊天窗口。

，上面帖子不算，楼主还是老实重装吧，估计快些晕了

本帖最近评分记录

hawk44 金币 +10 你的解答我看不懂 2006-12-25 08:59

用户名： fc7615 用户组：LEVEL 7 状态：离线互动：发短消息发帖：搜索帖子

fc7615 发表于 2006-12-25 12:53 只看TA 15楼
呵呵，解释下，我上面连发了2个帖，13楼以为是红色蠕虫病毒，后来查了下病毒名，就发14楼的帖，14楼的最后一句打错了，应该是：晕了，上面帖子不算，楼主还是老实重装吧，估计快些。
0

用户名： fc7615 用户组：LEVEL 7 状态：离线互动：发短消息发帖：搜索帖子

该用户匿名发帖发表于 2006-12-25 21:11 只看TA 16楼
如此麻烦,用GHOST重安装一次,五六分钟而已!
0

sin77777777 发表于 2006-12-25 21:33 只看TA 17楼
可能是恶意病毒，使用魔法兔子进行一下恶意软件的清除就可以了不用删除文件的。
0

用户名： sin77777777 用户组：LEVEL 4 状态：离线互动：发短消息发帖：搜索帖子

回复帖子发新话题

17 ‹‹12

联系我们｜电脑版