怀疑IE被线程注入，请大家帮忙分析下

哦，貌似是灰鸽子的变种……

灰鸽子还是挺强悍的,特难对付. 试过N种方法都没有阻止他启动

我看看 最好能用sreng扫一下，这样结合filemon和regmon就太好了

看了下，不是传说中很nx的新版gp 你的启动项里肯定有不正常的svchost，那个第一个ie就是由svchost启动的 上sreng的日志吧，找到启动项就解决了

【 在 rebirthatsix 的大作中提到: 】 : 看了下，不是传说中很nx的新版gp : 你的启动项里肯定有不正常的svchost，那个第一个ie就是由svchost启动的 : 上sreng的日志吧，找到启动项就解决了 附件(29.7KB) SREngLOG.log 嗯已经上传…… 我发现windows文件夹下有个svchsot，就跟filemon里面那个一样。而不是svchost。可能第一次看的时候忽视了吧……我先把iexplore进程终止了又把那个玩意删掉了，重装了IE，现在看来好像问题解决了……但是还是不知道原来是怎么搞的，而且也不知道系统有没有残留。如果可以的话请帮忙分析下吧~谢谢啦~

【 在 hardy616 的大作中提到: 】 : : 嗯已经上传…… : 我发现windows文件夹下有个svchsot，就跟filemon里面那个一样。而不是svchost。可能第一次看的时候忽视了吧……我先把iexplore进程终止了又把那个玩意删掉了，重装了IE，现在看来好像问题解决了……但是还是不知道原来是怎么搞的，而且也不知道系统有没有残留。如果可以的话请帮忙分析下吧~谢谢啦~ 嗯，看起来是没有异常了，如果还有担心，就再多注意一下windows下面有没有这个文件

【 在 rebirthatsix 的大作中提到: 】 : 嗯，看起来是没有异常了，如果还有担心，就再多注意一下windows下面有没有这个文件 ok~只是还是不明白为什么svchsot要启动IE，是每次开机都会注入IE然后关掉svchsot吗？我看svchsot也没有隐藏也没有在进程列表里。还有关于那个服务，就是在注册表里面看到的那些服务和用户管理工具里看到的不太一样呀~难道服务项也能隐藏？

【 在 hardy616 的大作中提到: 】 : ok~只是还是不明白为什么svchsot要启动IE，是每次开机都会注入IE然后关掉svchsot吗？我看svchsot也没有隐藏也没有在进程列表里。还有关于那个服务，就是在注册表里面看到的那些服务和用户管理工具里看到的不太一样呀~难道服务项也能隐藏？ 不是，注册表里的服务和显示在mmc里的可大不一样，多出很多 svchost为什么要启动ie,是因为这个ie可能已经被它用关文件保护的方法替换了，而且你删除的话它肯定会自动还原，也就是说其实际实现的功能已经在运行那个替换之后的ie时生效了，这个svchost从名字和所放路径来看，迷惑性是其的目的之一，至于作者为啥非要用svchost来启动，那估计还是得问作者。。。。

【 在 rebirthatsix 的大作中提到: 】 : 不是，注册表里的服务和显示在mmc里的可大不一样，多出很多 : svchost为什么要启动ie,是因为这个ie可能已经被它用关文件保护的方法替换了，而且你删除的话它肯定会自动还原，也就是说其实际实现的功能已经在运行那个替换之后的ie时生效了，这个svchost从名字和所放路径来看，迷惑性是其的目的之一，至于作者为啥非要用svchost来启动，那估计还是得问作者。。。。 哦~长见识了呵呵~原来一直不齿利用改名迷惑用户来隐藏进程的手段，没想到这次自己就被蒙到了哈哈一个svchsot没看清看成了svchost~而且它只在开机的时候调用一下，然后实际运行的时候各个线程里面也没有它踪影，只有iexplore.exe，还是小写的呵呵~如果不是开机的时候filemon还真发现不了这个玩意……