进程中出现多个IEXPLORE.EXE的解决方案

金光

出现多个消耗资源的IE进程

参考 twunk32.exe木马的清除指南(出现N个IEXPLORE.EXE进程）
http://hi.baidu.com/teyqiu/blog/ ... 2ac72309f7eff3.html

关注新动向

http://hi.baidu.com/teyqiu/blog/ ... 9b1e82b901a0f1.html

多个IEXPLORE.EXE和Win不良倾向.EXE(如win16.exe）病毒问题
不良倾向表示数字

金光

Trojan-Downloader.Win32.Small.czl分析


病毒标签：

病毒名称： Trojan-Downloader.Win32.Small.czl

病毒类型： 木马

文件 MD5： 2D747C2BAC72A1E87F4DA7F8E7C1E985

公开范围： 完全公开

危害等级： 4

文件长度： 24,576 字节

感染系统： windows98以上版本

加壳类型： PE-Armor 0.46

本文的眼：最近发现，twunk32.exe的案例很多。有时会伴随注册一个Windows DHCP Service / WinDHCPsvc的服务（但并非所有的案例都如此）。其症状是系统速度变慢，在任务管理器中可以看到很多个（N个）用户名为SYSTEM的大写的IEXPLORE.exe进程。如下图。

                               
登录/注册后可看大图

特写此清除指南。对号入座一下。
1 用强制删除工具 PowerRMV 下载地址 http://post.baidu.com/f?kz=158203765
分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭 【如果提示找不到，请忽略该提示】
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\windhcp.ocx

以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
2 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接，看懂再下手操作！
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
【如下操作有风险，必须看懂上面的方法再操作。】
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <twin><C:\WINDOWS\system32\twunk32.exe>  [N/A]
=================================
服务
[Windows DHCP Service / WinDHCPsvc]
  <C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>

4、最后要提醒注意的就是 卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。

金光

多个IEXPLORE.EXE和Win不良倾向.EXE(如win16.exe）病毒问题

一、问题的提出
我在不打开任何网页的情况下进程表里会出现IEXPLORE.EXE进程.注意都是大写哦.它的进程指向也就是系统默认的浏览器.常常好多个.用户名是系统STSTEM.而我自己再打开网页.出现的进程就只是administrator.这两个的不同.我在网上下载了瑞星2007.在1月之前可以免费升级的.我用它杀毒的.最近几天
病毒日志:
Rootkit.Torn.n 处理结果:删除成功07~1~12
Trojan.PSW.Delf.ept 处理结果:清除成功07~1~12
监控日志:
Trojan.DL.JS.Agent.b 处理结果:跳过脚本07~1~3
Script.Joke.TG 处理结果:跳过脚本07~1~6
Script.Joke.TG 处理结果:跳过脚本07~1~6
Script.Joke.TG 处理结果:跳过脚本07~1~6
Worm.Nimaya.x 处理结果:清除成功07~1~6
Rootkit.Torn.n 处理结果:重启后删除07~1~6
Trojan.PSW.54669.f 处理结果:删除成功07~1~6
Rootkit.Torn.n 处理结果:删除成功07~1~6
Trojan.PSW.54669.GEN处理结果:删除成功07~1~6
Rootkit.Torn.n 处理结果:忽略07~1~12
Rootkit.Torn.n 处理结果:删除成功07~1~12
然后还有一个反映就是在C:\Documents and Settings\Administrator\Local Settings\Temp文件夹里老会出现Win01.EXE等等的Win不良倾向.EXE文件.删了又出现.而且杀毒软件检测不出来
好奇怪呀~
我一开始以为是灰鸽子但又不像.又想蠕虫又象木马的~...
希望高手可以帮帮我~
好的话绝对追加分!!!谢谢谢谢啊~~~
问题补充：日志具体在这里~~~~~~~~~~~~~~~~~~~!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
http://post.baidu.com/f?kz=163037707


二、分析及解决

1 杀毒前关闭系统还原：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765
分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭 有找不到提示的请忽略
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rxa3\iexp1ore.exe
c:\windows\system32\SetupNT.sys

重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
3 SREng删除如下各项
方法 http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html

启动项目 -->注册表 下的如下项目
<myRx3><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rxa3\iexp1ore.exe> [N/A]

启动项目 -->服务-->驱动程序(如果删不掉，就设置类型为disabled!)下的如下项目
[SetupNT / SetupNT][Running/Auto Start]
<\SystemRoot\system32\SetupNT.sys><N/A>



三、反馈：已经解决。


严重相关帖子；
>>>>> twunk32.exe木马清除
出现N个用户名为SYSTEM的IEXPLORE.EXE进程

[/td][/tr][/table]