今晚测试Iepage.exe病毒修改IE主页.释放病毒副本,创建服务项.运行IE,自动运行威金病毒,看SSM提示,不知道是否是我的误判,


修改IE

进程：
    路径： C:\WINDOWS\system32\Iepage.exe
    PID: 3820
注册表群组： IE Settings
对象：
    注册表键： HKCU\Software\Microsoft\Internet Explorer\Main
    注册表值： Start Page
    新的值:
      类型: REG_SZ
      值： http://dhz.810810.org<请勿点击>
    先前值:
      类型: REG_SZ
      值： http://www.hao123.com/


父级进程：
    路径： C:\Program Files\Internet Explorer\IEXPLORE.EXE
    PID: 2052
    信息： Internet Explorer (Microsoft Corporation)
子级进程：
    路径： C:\WINDOWS\system32\cmd.exe
    信息： Windows Command Processor (Microsoft Corporation)
    命令行：cmd /c "C:\Documents and Settings\MIB\Local Settings\Temporary Internet Files\Content.IE5\3FXTTXLY\0[1].exe"<这个就是威金>

父级进程：
    路径： C:\Documents and Settings\MIB\Local Settings\Temporary Internet Files\Content.IE5\3FXTTXLY\0[1].exe
    PID: 2980
子级进程：
    路径： C:\WINDOWS\system32\net.exe
    信息： Net Command (Microsoft Corporation)
    命令行：net stop "Kingsoft AntiVirus Service"
父级进程：
    路径： C:\WINDOWS\system32\net.exe
    PID: 3524
    信息： Net Command (Microsoft Corporation)
子级进程：
    路径： C:\WINDOWS\system32\net1.exe
    信息： Net Command (Microsoft Corporation)
    命令行：net1 stop "Kingsoft AntiVirus Service"
进程：
    路径： C:\Documents and Settings\MIB\Local Settings\Temporary Internet Files\Content.IE5\3FXTTXLY\0[1].exe
    PID: 2980
注册表群组： Machine AutoRun
对象：
    注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    注册表值： load
      类型: REG_SZ
      值： C:\windows\uninstall\rundl132.exe



暂行解决方法如下:

开始---运行---REGEDIT---依次展开:
第一步:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
添加如图:

病毒还在测试中.............可能是明晚会有结果.关于IFEO,猫叔有两个贴子,请大家查找一下吧!还没吃晚饭,肚子要紧,先闪了,如有错误,请网络上的高手指正.


也不知道是否是我自己的误判,不过这个病毒的确是修改主页的,

在2月份我的IE不能更改主页  后来恢复系统就好了 
我也搞不懂
是病毒吗?现在我用IE7了

引用:

【kaikai2006的贴子】在2月份我的IE不能更改主页  后来恢复系统就好了  我也搞不懂 是病毒吗?现在我用IE7了 ………………

是病毒,不过楼主的主页更改为..............

希望蓝天版主以后写更多的病毒分析
以后来 反劫持 有学习的帖子 不光只是问题帖子
HOHO~~