〖求助〗开机自动运行iexplore.exe是怎么回事啊？

爽下下

TT和IE的内核是一样的

starshow0571

引用第0楼zblou于2007-01-05 14:28发表的“〖求助〗开机自动运行iexplore.exe是怎么回事啊？”:
  有时侯会运行好多个的，显示的不是我的用户名，而是SYSTEM的，
上网查了下说是中了木马，灰鸽子什么的，
有哪为高手知道怎么处理吗？

很有可能是中了木马，一般的话，IE是不可能加载到启动项里的，你用一个叫“冰刃”的程序查看一下。

zblou

我用冰刃查出是就是那个IE有问题，所以就把它给卸了的

popo586

去瑞星下个灰鸽子专杀工具啊，呵呵

我是誰

不知道楼主所谓的“卸载IE“是怎样进行的。IE6可不是随便就能卸的。而且TT是使用IE内核，要真卸了，TT也是用不了的。 进程是以SYSTEM用户运行的，说明是以系统服务的方式运行的。所以按前面某位说的在MSCONFIG里，肯定是找不到的。

点“开始”－“运行”，输入services.msc，打开，出现“服务”控制台。在这里找找自启动类型的服务，应该会发现这个可能伪装成什么别的服务的东西，把它停止并禁用。不过这里你是删不了它的。给你个工具，可以删除服务。http://www.a-jian.com/download/ps2.exe  英文的，如果不会用再问我吧。

zblou

我用优化大师卸的啊，但是那个IE的图标还在的，我把那些iexplore 的进程结束掉后才把那图标也删掉的，
那样的话那些进程是不会再出现，就是QQ空间进不去，说无法创建IE（ iexplore.exe）进程，然后我就把图标从回收站恢复了，这样QQ空间能进去，但是那些iexplore进程又会一个一个多起来的,太郁闷了

fegor

开始-运行-msconfig-服务-隐藏所有Microsoft服务

然后上面就只剩下几个服务了。。

看看制造商那一栏，只要是未知的都可以  去掉  。如果说是灰鸽子的话，下次不会再启动了。
如果是pcshare之类的。可能就不好弄了。最好用卡巴杀去。

zxj0051

没用的,如果你没开IE出现这个进程 而且是系统进程 那么恭喜你你中标了.....
你中的是威金下载器新变种文件IMSCMIG.exe,tpxhst32.exe,SVCH0ST.exe,IEXPL0RE.exe,SC0NFIG.exe,TIMPLATF0RM.exe

资料看这里
IMSCMIG.exe,tpxhst32.exe,SVCH0ST.exe,IEXPL0RE.exe,SC0NFIG.exe,TIMPLATF0RM.exe的清除指南2006年12月29日 星期五 14:04－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
teYqiu【天下无毒】原创文章，转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留此申明！』
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

Title:威金下载器新变种文件IMSCMIG.exe,tpxhst32.exe,SVCH0ST.exe,IEXPL0RE.exe,SC0NFIG.exe,TIMPLATF0RM.exe的清除指南 by 崔衍渠

重要提醒：1、建议按本文的操作前，先用一款威金的专杀解决已经感染的文件问题。

进行本文的操作前，请务必确定已经至少采用了一款威金的专杀复查过系统。

关于专杀的下载和使用，请参考我的帖子 >>威金有效专杀 http://hi.baidu.com/teyqiu/blog/ ... 568f1bb051b928.html

2、第一代: http://hi.baidu.com/teyqiu/blog/ ... c576d8bc3e1eb3.html
wlzs.exe,mhs2.exe,rundl132.exe,zts2.exe,System64.sys,IEXPLORE.Sys,IEXPLORE.Dat的清除指南 by 崔衍渠

一、问题的提出：
问：我的机器老是重起2006-12-29 13:30
我的机器开机的时候进入到桌面要等5分钟才能开始使用，而且最近老是重起,前天晚上我从9点半开始开机11点才能正常使用，而且玩游戏卡的要命！！
求求高手帮我看看!!我是菜鸟..

SRENG的日志（略）

二、日志的分析

如下文件怀疑是威金的木马下载器下载的最新变种（注意其文件名较之前发生了变化）因此有必要再次写此清除指南。（崔衍渠）

【免责声明】 本案例与你的机器可能有所不同，具体问题具体分析，仅供参考。

1、首先关闭系统还原等。杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。  
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765
分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭
C:\Progra~1\Eset\expl0rer.exe
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\system32\windhcp.dll
C:\WINDOWS\system32\IMSCMIG.exe
C:\WINDOWS\system32\tpxhst32.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SVCH0ST.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IEXPL0RE.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SC0NFIG.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\TIMPLATF0RM.exe
C:\Program Files\Common Files\System\Updaterun.exe
C:\WINDOWS\temp\sd152.exe

C:\WINDOWS\SYSTEM32\WBEM\BGLSW.DLL
C:\WINDOWS\G_Server2006.exe
C:\WINDOWS\G_Server1.23.exe
C:\WINDOWS\system32\ueygl.dll
C:\WINDOWS\system32\drivers\restore.dll
C:\WINDOWS\system32\winrar.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hpfrgau

重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
3. 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接，看懂再下手操作！
http://hi.baidu.com/teyqiu/blog/ ... 2346ec54e72351.html
【如下操作有风险，必须看懂上面的方法再操作。】

启动项目 -->注册表 的如下项


   <ravshell><C:\Progra~1\Eset\expl0rer.exe>  [N/A]
   <IMSCMIG.exe><C:\WINDOWS\system32\IMSCMIG.exe>  [N/A]
   <tpxhst32.exe><C:\WINDOWS\system32\tpxhst32.exe>  [N/A]
   <CdnCtr><C:\Program Files\CNNIC\Cdn\cdnup.exe>  [N/A]
   <mhs2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SVCH0ST.exe>  [N/A]
   <rxzs><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IEXPL0RE.exe>  [N/A]
   <wlzs><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SC0NFIG.exe>  [N/A]
   <zts2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\TIMPLATF0RM.exe>  [N/A]
   <DxDialog><C:\WINDOWS\system32\dxdlg32.exe>  [Microsoft Corporation]
   <System><C:\Program Files\Common Files\System\Updaterun.exe>  [N/A]
   <sdafdsafds><C:\WINDOWS\temp\sd152.exe>  [N/A]

==================================
启动项目 -->服务-->Win32服务应用程序  的如下项
[Internet Protect Service / DATEING][Running/Auto Start]
  <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\BGLSW.DLL,Export 1087><N/A>

[GrayPigeonServer / GrayPigeonServer][Stopped/Auto Start] 灰鸽子1
  <C:\WINDOWS\G_Server2006.exe><N/A>

[Gray_Pigeon_Server1.23 / GrayPigeonServer1.23][Running/Auto Start] 灰鸽子2
  <C:\WINDOWS\G_Server1.23.exe><N/A>

[System Administrator / License][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\ueygl.dll><Microsoft Corporation>

[RestoreService / RestoreService][Running/Auto Start]
  <C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\restore.dll><Microsoft Corporation All rights reserved>

[Provisioning Transaction Service / ttt_13][Stopped/Auto Start]
  <C:\WINDOWS\system32\winrar.exe><N/A>

[Win32 DHCP Service / Win32DHCPsvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\rundll32.exe windhcp.dll,start><Microsoft Corporation>

[WinXP DHCP Service / WinXPDHCPsvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\rundll32.exe xpdhcp.dll,start><Microsoft Corporation>

==================================
驱动程序

[AntiyNF / AntiyNF][Running/Auto Start]
  <system32\drivers\AntiyNF.sys><N/A>

[gnld / gnldp][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\gnldp.sys><N/A>

[idybxo0 / idybxo01][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\idybxo01.sys><N/A>
[msqmx / msqmx][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msqmx.sys><Microsoft Corporation>

[hpfr / hpfr][Running/Disabled]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hpfrgau><N/A>


进行本文的操作前，请务必确定已经至少采用了一款威金的专杀复查过系统。
关于专杀的下载和使用，请参考我的帖子 >>威金有效专杀 http://hi.baidu.com/teyqiu/blog/ ... 568f1bb051b928.html


黑字体部分的文件要确认手动删除或者用工具辅助清除。