灰鸽子木马如果在用户的iexplore.exe进程中怎么处理？

分类: 电脑/网络 >> 反病毒
问题描述:

都快疯了 没有什么杀毒软件能杀掉！！！！

解析:

这几天我也搞这个病毒，网上是没什么解法，病毒十分狡猾，看起来是灰鸽子的变种，通过调用IEXPLOREexe自动下载种类很多的木马到机器

上，大部分可以被杀软拦截。你看你的winnt\temp 和Documents and Settings\用户名\Local Settings\temp下有无win(名字随机）exe

，大小232k的文件，这种卡巴不报警，如果你开咔吧主动防御的话，清除后再次被感染时咔吧提示未知病毒。这种病毒最烦人的是下载的多种
病毒，很多也是加载IEXPLORE进程的，搞的不容易分析最终是什么病毒。

这种病毒狡猾的地方是感染文件和正常的win程序名字没任何区别，svchost就是svchost,IEXPLORE就是IEXPLORE，这样我怀疑是每次启动后就

感染正常的IEXPLORE程序，然后病毒就隐藏不动（打死也不动），这样杀软查不出，其后利用感染的IEXPLORE程序下栽别的木马，这样杀软只

查出一些替罪羊，真正的“教唆犯罪者”隐藏幕后。

目前想的方法就是我先删除IEXPLOREexe，让此病毒无法感染，这样病毒一直保持活动性，杀软就可查出。步骤是

1、双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的 *** 作系统文件（推荐）"复选框。在提示确

定更改时，单击“是”，清除“隐藏已知文件类型的扩展名）

2、安全模式下，查杀病毒，（此病毒比较特殊，未必能查出，不要紧）。

3、删除program filie/inter explorer/iexploreexe(放回收站，不要彻底删除，要不你浏览器可就启动不了拉）

4、正常启动，查杀病毒，一般的杀软应该就查出了，估计在system32里。

5、记下病毒名，应该是个exe文件，运行注册表，查找病毒名，删除相关键值。

6、打开服务，根据刚才病毒名，禁用此项服务（如果是鸽子，必有）

7、恢复回收站里iexploreexe文件。（不放心的话，可以安全模式下再查一遍，再恢复iexploreexe

此步骤完成后，发现每过30分钟左右，仍有病毒下栽，但数量大大减少，只有一个，每次都被ewido拦截，病毒名trojanagenthw，好象新变

种。

此时怀疑还有1个“幕后教唆犯”，另一个估计是隐藏服务。

用冰刃监控，无发现，用winpatrol（没有就下载一个）,发现服务svchost，和正常程序文件名没不同，唯一的不同是在winnt目录下和temp，

正常的应该是winnt\system32下，好了，此项服务禁用，然后搜索，除了winnt\system32下的，其他全部删除，然后查注册表，路径非winnt\s

ystem32下的 svchost键值，（注意，名字完全一样，容易看花眼的）。在过程中,winpatrol要一直开着，因为会再次加服务的，提示加服务就

阻止。

最后补充，清除过程可能需重复多次。

开始，开始没有安装杀毒软件，发现系统总是自动加载conimeEXE这个程序，没有在意，顺手关闭了。结果丫得寸进尺，又加载了internetexe jwmexe mh2exe jwmexe 等程序，没有多想，关闭程序，把\windows\system 目录下的exe文件统统删除，不过一会，又自动加载了conimeexe，然后system目录下又出现了一堆exe文件，这下可火气大了。
从起电脑f8进入安全模式，SRENG，按 ctrl+alt+del 打开任务管理器，结束进程 Explorerexe，然后用SRENG清除如上的注册表启动项和那些病毒的相关项
删除病毒创建的ShellExecuteHooks信息
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}"=""
[HKEY_CLASSES_ROOT\CLSID\{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}]
再然后，把
WINDOWS\system下
IceHBOdll
icedatadat
SYSTEM32tmp
updata1exe
jwmexe
wo2exe
mhhexe
zttexe
conimeEXE
internetexe
WINDOWS\system32下
windhcpocx
Cnscheck100dll
Documents and Settings\\Local Settings\Temp中
mhsexe
edq7spgdll
mhsdll
packetdll
wanpacketdll
npfsys
trutmp
把这些文件统统删除，搞定。
结果问题又出现了，进入windows后，硬盘分区不能双击打开，只能右键打开，而且出现235780MBMP错误。进入注册表，在
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><235780MBMP>
把235780MBMP删除了，结果系统又开始加载conimeexe程序，而且双击硬盘出现了2006_hookdll错误。这下我才知道中的是灰鸽子（灰鸽子特性，生成xxxxexe xxxx_hookdll 还有一个什么来着忘了，反正是三个程序），丫真是畜牲，让我刚才半天功夫白费了，现在又饥又困，硬挺着手动搜索了一下没有发现相关文件，从起机器的时候迅猛打开信息管理器，发现运行了2006exe ，这下更能肯定了是灰鸽子了。可是搜索也搜索不出来，这畜牲生灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。没辙了，小弟才疏学浅只好用杀毒软件了，打开卡巴斯基（稍候讲怎么用正版卡巴）全硬盘搜索，分区也不放过，因为双击分区也会出问题。睡觉先
起来发现都杀完了，结果双击硬盘出现ghostexe错误。就是不让你双击打开。到注册表中搜索ghostexe（一般是在SHELL/COMMAND下面），找到后删除整个SHELL子键就可以了（出现什么错误就搜索什么，因为他是随机定名的）
这下好了，硬盘没有自动播放，可以正常打开了。因为一开始没有正常杀毒，随手删除了很多程序，造成手动杀毒失败。大家最好用杀毒软件进行杀毒，偶也是一瓶子不满半瓶子晃荡，二把刀子一个

你好：

灰鸽子木马可以说是第一代远控

现在清除已经非常简单了

你可以访问腾讯电脑管家官网，下载安装一个电脑管家

使用杀毒功能就可以轻松清除了

电脑管家可以完美查杀整个灰鸽子家族的所有变种木马

如果以后有什么问题，欢迎再来电脑管家企业平台询问，我们会尽心为您解答

---