关于IEXPLORE.EXE和Explorer.exe和svchost.exe的问题
发布网友
发布时间:2024-10-01 13:58
共2个回答
热心网友
时间:2024-12-04 19:05
IEXPLORE.EXE
微软的浏览器就是IEXPLORE.EXE,但是它一般情况随系统被安装在C:\Program Files\Internet Explorer下面。那么,如果发现这个文件是在这个目录下面的,一般情况不是病毒,当然,不包括已经被感染了的情况;还有一种情况,就是IEXPLORE.EXE在C:\WINDOWS\system32\下面,那么这个十有*都是病毒。你刚开机如果没有打开IE就加载这个进程那么,显然你中了灰鸽子病毒。该病毒会伪装系统进程并终止你的反病毒软件,和一些Windows系统工具。
Explorer.exe
是你的桌面进程。但是一般不会同时出现两个Explorer.exe进程所以另一个肯定是病毒的衍生程序。
svchost.exe
是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程,svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。
三 、中招后的处理:
灰鸽子的判断比较简单,但是处理起来比较麻烦
首先确认是中招了,根据灰鸽子的的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件。灰鸽子2005感染系统后,将自身注册为系统服务,并在同一目录下生成一组(3个)隐藏的病毒文件;病毒文件名可变,但有一定规律。
第二清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
具体步骤如下:
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消 “隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\\windows,2k/NT为C:\\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下看是否有一个名为IEXPLORE_Hook.dll(也可能是其他名称,但基本结构都是_hook.dll的)的文件。
4、根据灰鸽子原理分析我们知道,如果IEXPLORE_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有IEXPLORE.exe和 IEXPLORE.dll文件。打开Windows目录,应该还有一个用于记录键盘操作的IEXPLOREKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除
灰鸽子的手工清除
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“IEXPLORE.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为IEXPLORE_Server)。
3、删除整个IEXPLORE_Server项。
98/me系统:
在9X 下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\\Software\\Microsoft\\ Windows\\CurrentVersion\\Run项,我们立即看到名为IEXPLORE.exe的一项,将IEXPLORE.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的IEXPLORE.exe、IEXPLORE.dll、IEXPLORE_Hook.dll以及IEXPLORE.dll文件然后重新启动计算机。至此,灰鸽子已经被清除干净
热心网友
时间:2024-12-04 19:05
