有时侯会运行好多个的,显示的不是我的用户名,而是SYSTEM的,
上网查了下说是中了木马,灰鸽子什么的,
有哪为高手知道怎么处理吗?
很有可能是中了木马,一般的话,IE是不可能加载到启动项里的,你用一个叫“冰刃”的程序查看一下。 我用冰刃查出是就是那个IE有问题,所以就把它给卸了的 去瑞星下个灰鸽子专杀工具啊,呵呵 不知道楼主所谓的“卸载IE“是怎样进行的。IE6可不是随便就能卸的。而且TT是使用IE内核,要真卸了,TT也是用不了的。 进程是以SYSTEM用户运行的,说明是以系统服务的方式运行的。所以按前面某位说的在MSCONFIG里,肯定是找不到的。
点“开始”-“运行”,输入services.msc,打开,出现“服务”控制台。在这里找找自启动类型的服务,应该会发现这个可能伪装成什么别的服务的东西,把它停止并禁用。不过这里你是删不了它的。给你个工具,可以删除服务。http://www.a-jian.com/download/ps2.exe英文的,如果不会用再问我吧。 我用优化大师卸的啊,但是那个IE的图标还在的,我把那些iexplore 的进程结束掉后才把那图标也删掉的,
那样的话那些进程是不会再出现,就是QQ空间进不去,说无法创建IE( iexplore.exe)进程,然后我就把图标从回收站恢复了,这样QQ空间能进去,但是那些iexplore进程又会一个一个多起来的,太郁闷了 开始-运行-msconfig-服务-隐藏所有Microsoft服务
然后上面就只剩下几个服务了。。
看看制造商那一栏,只要是未知的都可以去掉。如果说是灰鸽子的话,下次不会再启动了。
如果是pcshare之类的。可能就不好弄了。最好用卡巴杀去。 没用的,如果你没开IE出现这个进程 而且是系统进程 那么恭喜你你中标了.....
你中的是威金下载器新变种文件IMSCMIG.exe,tpxhst32.exe,SVCH0ST.exe,IEXPL0RE.exe,SC0NFIG.exe,TIMPLATF0RM.exe
资料看这里
IMSCMIG.exe,tpxhst32.exe,SVCH0ST.exe,IEXPL0RE.exe,SC0NFIG.exe,TIMPLATF0RM.exe的清除指南2006年12月29日 星期五 14:04----------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留此申明!』
----------------------------------
Title:威金下载器新变种文件IMSCMIG.exe,tpxhst32.exe,SVCH0ST.exe,IEXPL0RE.exe,SC0NFIG.exe,TIMPLATF0RM.exe的清除指南 by 崔衍渠
重要提醒:1、建议按本文的操作前,先用一款威金的专杀解决已经感染的文件问题。
进行本文的操作前,请务必确定已经至少采用了一款威金的专杀复查过系统。
关于专杀的下载和使用,请参考我的帖子 >>威金有效专杀 http://hi.baidu.com/teyqiu/blog/item/bd8aa97731568f1bb051b928.html
2、第一代: http://hi.baidu.com/teyqiu/blog/item/02b86c81f8c576d8bc3e1eb3.html
wlzs.exe,mhs2.exe,rundl132.exe,zts2.exe,System64.sys,IEXPLORE.Sys,IEXPLORE.Dat的清除指南 by 崔衍渠
一、问题的提出:
问:我的机器老是重起2006-12-29 13:30
我的机器开机的时候进入到桌面要等5分钟才能开始使用,而且最近老是重起,前天晚上我从9点半开始开机11点才能正常使用,而且玩游戏卡的要命!!
求求高手帮我看看!!我是菜鸟..
SRENG的日志(略)
二、日志的分析
如下文件怀疑是威金的木马下载器下载的最新变种(注意其文件名较之前发生了变化)因此有必要再次写此清除指南。(崔衍渠)
【免责声明】 本案例与你的机器可能有所不同,具体问题具体分析,仅供参考。
1、首先关闭系统还原等。杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭
C:\Progra~1\Eset\expl0rer.exe
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\system32\windhcp.dll
C:\WINDOWS\system32\IMSCMIG.exe
C:\WINDOWS\system32\tpxhst32.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SVCH0ST.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IEXPL0RE.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SC0NFIG.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\TIMPLATF0RM.exe
C:\Program Files\Common Files\System\Updaterun.exe
C:\WINDOWS\temp\sd152.exe
C:\WINDOWS\SYSTEM32\WBEM\BGLSW.DLL
C:\WINDOWS\G_Server2006.exe
C:\WINDOWS\G_Server1.23.exe
C:\WINDOWS\system32\ueygl.dll
C:\WINDOWS\system32\drivers\restore.dll
C:\WINDOWS\system32\winrar.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hpfrgau
重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
3. 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接,看懂再下手操作!
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
【如下操作有风险,必须看懂上面的方法再操作。】
启动项目 -->注册表 的如下项
<ravshell><C:\Progra~1\Eset\expl0rer.exe>
<IMSCMIG.exe><C:\WINDOWS\system32\IMSCMIG.exe>
<tpxhst32.exe><C:\WINDOWS\system32\tpxhst32.exe>
<CdnCtr><C:\Program Files\CNNIC\Cdn\cdnup.exe>
<mhs2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SVCH0ST.exe>
<rxzs><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IEXPL0RE.exe>
<wlzs><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SC0NFIG.exe>
<zts2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\TIMPLATF0RM.exe>
<DxDialog><C:\WINDOWS\system32\dxdlg32.exe>
<System><C:\Program Files\Common Files\System\Updaterun.exe>
<sdafdsafds><C:\WINDOWS\temp\sd152.exe>
==================================
启动项目 -->服务-->Win32服务应用程序的如下项
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\BGLSW.DLL,Export 1087><N/A>
灰鸽子1
<C:\WINDOWS\G_Server2006.exe><N/A>
灰鸽子2
<C:\WINDOWS\G_Server1.23.exe><N/A>
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\ueygl.dll><Microsoft Corporation>
<C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\restore.dll><Microsoft Corporation All rights reserved>
<C:\WINDOWS\system32\winrar.exe><N/A>
<C:\WINDOWS\system32\rundll32.exe windhcp.dll,start><Microsoft Corporation>
<C:\WINDOWS\system32\rundll32.exe xpdhcp.dll,start><Microsoft Corporation>
==================================
驱动程序
<system32\drivers\AntiyNF.sys><N/A>
<\SystemRoot\System32\DRIVERS\gnldp.sys><N/A>
<\SystemRoot\System32\DRIVERS\idybxo01.sys><N/A>
<\??\C:\WINDOWS\system32\drivers\msqmx.sys><Microsoft Corporation>
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hpfrgau><N/A>
进行本文的操作前,请务必确定已经至少采用了一款威金的专杀复查过系统。
关于专杀的下载和使用,请参考我的帖子 >>威金有效专杀 http://hi.baidu.com/teyqiu/blog/item/bd8aa97731568f1bb051b928.html
黑字体部分的文件要确认手动删除或者用工具辅助清除。
页:
1
[2]