【原创】手工扫毒之清除IEService

广告

不知道从什么时候开始,卡巴就一直提示有个“IEService”的进程为隐藏进程,问是否要隔离说着删除。以前一直没有时间去理会它(很多时候是因为没有空,还有别的事做)。每次点击了隔离,下次重启后又会提示有。
直到最近,发现自己的肉鸡全部都丢失,而且昨天晚上硬盘狂转个不停(明明没有操作,但是硬盘还是转个不停),这时我想起了那个“IEService.exe”,应该是它了。于是就开始了我与“IEService.exe”的战争。
首先当然是为了节省时间上网查查这是什么东西啦。百度了一下之后,发现只有162项结果,而且基本上都是求助的,没有人写过如何清除它。看来要么这个东西流行范围不广,要么就是太强大。
另外还有个天下进程的网站贴出了该进程的信息,信息如下:
IEService – IEService.exe – 进程信息
进程文件: IEService 或 IEService.exe
进程位置: 系统
程序名称: Backdoor.Agobot.gen.IEService
程序用途: 后门木马病毒
程序作者:
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
安全等级: 低
进程分析: 病毒修改注册表 创建系统服务项smos/ImagePath实现自启动,运行后连接特定服务器开启后门服务,允许恶意攻击者远程控制计算机。
看到没有,是个后门木马,难怪我最近的肉鸡全部都丢失了,看来一定是它搞的鬼了!而昨天硬盘也一定是它弄的了(后来也查证了自己的电脑上应该没有别的木马了)。算了,还是手工清除吧。首先关了卡巴,然后祭出“IceSword”。根据卡巴的日志,直到了“IEService.exe”这个东西在D:\WINDOWS\system32目录下(我的XP装在D盘),于是用“IceSword”打开D:\WINDOWS\system32,最终发现了这个东西,看见它的创建日期为2006年12月23日,想搜索这个日期的文件,但是后来才记得“IceSword”没有搜索功能(期待下个版本的“Icesword”可以加上搜索功能),而这个文件用了ROOKIT技术,所以在Windows下看不到。而我又不想重新启动到安全模式下(在下载电影,又不知道什么时候才能清除它,我可不想浪费那么多时间啊)。
正在郁闷中的时候突然间想到了“RootkitBuster”这个工具(大家可以到http://download.pchome.net/utility/antivirus/pccillin/download_6846.html 这里下载)。这是个可以搜索电脑上所有隐藏文件、进程、注册表项、驱动的工具,说不定可以通过它来找到这个东西呢。马上翻箱倒柜找到了“RootkitBuster”。直接点击“扫描”后等上一段时间,结果终于出来了,有三个隐藏文件,分别是D:\WINDOWS\system32\IEService.exe、D:\WINDOWS\system32\IEWorker.dll和D:\WINDOWS\system32\HideHook.dll,另外有十个隐藏的注册表项。既然知道了这些,直接全选所有的项,然后点击下面的“删除所选择项”,接着按提示重启即可。重新启动后再用“IceSword”查找这些文件发现已经全部都被删除了。看来以后可以安心地养鸡了^-^。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

百度XML GoogleXML SiteMap

游侠海外岛 is Stephen Fry proof thanks to caching by WP Super Cache