1   1  /  1  页   跳转

【求助】开机自动运行IE的病毒

收藏
windzaza
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2007-07-25
  • 来自:
发表于: 2008-04-07 12:15 | 显示全部 短消息 资料
字号: 1楼

【求助】开机自动运行IE的病毒

这个东西是明显的不正常,开机就自动运行IE,使用者显示为系统,安全模式用瑞星杀不出来。最后没办法我再开了个IE,然后用卡卡分析,对比两者的不同,发现其中一个IE多出以下进程,请各位高手帮忙分析下。这个东西我在网上搜了下,根本没有解决办法,很顽固的一个
[IEXPLORE.EXE]
PID = 0x454
CommandLine = "C:\Program Files\Internet Explorer\iexplore.exe" about:blank
       
    mstreg.dll
    0x59800000
    C:\WINDOWS\system32\mstreg.dll
       
    ntshrui.dll
    0x76990000
    C:\WINDOWS\system32\ntshrui.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Shell extensions for sharing
    2001-08-23 20:00:00


    mstrega.dll
    0x1930000
    C:\WINDOWS\system32\mstrega.dll
    6.00.2600.0000 (xpclient.010817-1148)
    Microsoft Corporation
    DESWorker DLL
    2004-06-06 14:13:24

    MFC42.DLL
    0x73dd0000
    C:\WINDOWS\system32\mfc42.dll
    6.00.8665.0
    Microsoft Corporation
    MFCDLL Shared Library - Retail Version
    2001-08-23 20:00:00

    RavScrCh.dll
    0x1970000
    C:\Program Files\Rising\Rav\RavScrch.dll
    20, 0, 0, 3
    Beijing Rising Technology Co., Ltd.
    RavScrCh Module
    2000-04-03 11:12:32

    vbscript.dll
    0x6b600000
    C:\WINDOWS\system32\vbscript.dll
    5.6.0.7426
    Microsoft Corporation
    Microsoft (r) VBScript
    2002-02-26 14:58:06

    jscript.dll
    0x75c50000
    C:\WINDOWS\system32\jscript.dll
    5.6.0.6626
    Microsoft Corporation
    Microsoft (r) JScript
    2001-08-23 20:00:00

    mswsock.dll
    0x71a50000
    C:\WINDOWS\system32\mswsock.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Microsoft Windows Sockets 2.0 Service Provider
    2001-08-23 20:00:00

    wshtcpip.dll
    0x71a90000
    C:\WINDOWS\system32\wshtcpip.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Windows Sockets Helper DLL
    2001-08-23 20:00:00

    DNSAPI.dll
    0x76f20000
    C:\WINDOWS\system32\dnsapi.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    DNS Client API DLL
    2001-08-23 20:00:00

    iphlpapi.dll
    0x76d60000
    C:\WINDOWS\system32\iphlpapi.dll
    5.1.2600.2 (xpclient.010817-1148)
    Microsoft Corporation
    IP Helper API
    2001-08-23 20:00:00

    netman.dll
    0x76de0000
    C:\WINDOWS\system32\netman.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Network Connections Manager
    2001-08-23 20:00:00

    MPRAPI.dll
    0x76d40000
    C:\WINDOWS\system32\mprapi.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Windows NT MP Router Administration DLL
    2001-08-23 20:00:00

    ACTIVEDS.dll
    0x76e40000
    C:\WINDOWS\system32\activeds.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    ADs Router Layer DLL
    2001-08-23 20:00:00

    adsldpc.dll
    0x76e10000
    C:\WINDOWS\system32\adsldpc.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    ADs LDAP Provider C DLL
    2001-08-23 20:00:00

    WLDAP32.dll
    0x76f60000
    C:\WINDOWS\system32\wldap32.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Win32 LDAP API DLL
    2001-08-23 20:00:00

   
    WZCSvc.DLL
    0x76da0000
    C:\WINDOWS\system32\wzcsvc.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Wireless Zero Configuration Service
    2001-08-23 20:00:00

    WMI.dll
    0x76d30000
    C:\WINDOWS\system32\wmi.dll
    5.1.2600.0 (XPClient.010817-1148)
    Microsoft Corporation
    WMI DC and DP functionality
    2001-08-23 20:00:00

    DHCPCSVC.DLL
    0x76d80000
    C:\WINDOWS\system32\dhcpcsvc.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    DHCP Client Service
    2001-08-23 20:00:00

    WTSAPI32.dll
    0x76f50000
    C:\WINDOWS\system32\wtsapi32.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Windows Terminal Server SDK APIs
    2001-08-23 20:00:00

    winrnr.dll
    0x76fb0000
    C:\WINDOWS\system32\winrnr.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    LDAP RnR Provider DLL
    2001-08-23 20:00:00

    rasadhlp.dll
    0x76fc0000
    C:\WINDOWS\system32\rasadhlp.dll
    5.1.2600.0 (xpclient.010817-1148)
    Microsoft Corporation
    Remote Access AutoDial Helper
    2001-08-23 20:00:00



另附卡卡的全部分析,先谢谢了


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

附件附件:

下载次数:142
文件类型:application/octet-stream
文件大小:
上传时间:2008-4-7 12:15:06
描述:

最后编辑2008-04-15 14:57:54.500000000
分享到:
gototop
 
windzaza
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2007-07-25
  • 来自:
发表于: 2008-04-09 17:28 | 显示全部 短消息 资料
字号: 2楼

先谢谢lqqk7了
由于打补丁的时候出错,我系统重装了,这个问题也不存在了。
但是很久之前我就遇到过一直没搞定,所以还想深究下。
附件中的文档是我在重装之前按照你的要求扫描好的。
症状就是开机自动运行IE,且使用者显示为系统。用瑞星、机器狗等专杀工具扫描没有不正常情况,机器在使用过程中也感觉不出异常。非常奇怪
希望lqqk7能帮忙查出问题所在

附件附件:

下载次数:134
文件类型:application/octet-stream
文件大小:
上传时间:2008-4-9 17:28:28
描述:
gototop
 
windzaza
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2007-07-25
  • 来自:
发表于: 2008-04-14 20:54 | 显示全部 短消息 资料
字号: 3楼

呵呵,看来这个问题果然是由木马的存在阿,下次再遇到要好好解决下,感谢lqqk7的帮忙了
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT