又遇IEXPLORE32.WIN,IEXPLORE32.SYS,WN_SYS8X.SYS,GJCSDYC.DLL等
endurer 原创
2008-01-31 第1版
一位网友反映,他的电脑最近经常弹出广告窗口,请偶帮忙检查。
下载 pe_xscan 扫描 log 并要析,发现如下可疑项:
/===
pe_xscan 08-01-29 by Purple Endurer
2008-1-31 12:24:24
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
C:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL | 2008-1-15 11:3:50 | SPlus Module | 5, 0, 3, 11 | | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 3, 11 | TENCENT | | SPlus.dll | SPlus.dll
C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS | 2008-1-31 9:15:36
C:/WINDOWS/EXPLORER.EXE* 836 | 2007-6-13 21:21:56 | Microsoft(R) Windows(R) Operating System | 6.00.2900.3156 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS | 2008-1-31 9:15:36
C:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL | 2008-1-15 11:3:50 | SPlus Module | 5, 0, 3, 11 | | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 3, 11 | TENCENT | | SPlus.dll | SPlus.dll
C:/PROGRAM FILES/ALISOFT/TOOLBAR/ASSIST/YASSIST.DLL | 2007-8-8 9:55:48 | 电子商务工具条 | 3, 5, 2, 1002 | Assist Module | Copyright 2007 Yahoo! China | 3, 5, 2, 1002 | Alibaba | Alibaba | yAssist | yAssist.DLL
C:/WINDOWS/SYSTEM32/RUNDLL32.EXE* 1500 | 2004-8-17 12:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Run a DLL as an App | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | rundll | RUNDLL.EXE
C:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL | 2008-1-15 11:3:50 | SPlus Module | 5, 0, 3, 11 | | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 3, 11 | TENCENT | | SPlus.dll | SPlus.dll
C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS | 2008-1-31 9:15:36
C:/WINDOWS/SYSTEM32/CTFMON.EXE* 1644 | 2004-8-17 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE
C:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL | 2008-1-15 11:3:50 | SPlus Module | 5, 0, 3, 11 | | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 3, 11 | TENCENT | | SPlus.dll | SPlus.dll
C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS | 2008-1-31 9:15:36
C:/PROGRAM FILES/QQ2006/QQ.EXE * 2808 | 2007-12-19 19:28:20 | QQ | 7,0,365,1701 | QQ | Copyright (C) 1998 - 2007 TENCENT Inc. All Rights Reserved | 7,0,365,1701 | TENCENT | | COMQQD | QQ.exe
C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS | 2008-1-31 9:15:36
C:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL | 2008-1-15 11:3:50 | SPlus Module | 5, 0, 3, 11 | | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 3, 11 | TENCENT | | SPlus.dll | SPlus.dll
O2 - BHO - {9963387B-212E-4643-B207-82DAEA0E713D} -C:/PROGRAM FILES/INTERNET EXPLORER/PLUGINS/WN_SYS8X.SYS
O2 - BHO - {A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E} -C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.WIN
O2 - BHO - {C5E87A05-F463-4841-B19E-DD3EC3862368} -C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS
O2 - BHO - {EE12D60D-AD9A-4095-B839-3BE6862679FD} -C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.DAT
O2 - BHO ASSIST - {FE3FCAE7-0A37-4506-8A7D-3CC9A04D2CA8} -C:/PROGRAM FILES/ALISOFT/TOOLBAR/ASSIST/YASSIST.DLL
O3 - IE工具栏: 淘宝工具条 - {78B2F60E-AFA5-4D3D-A49E-2BFF013D9D23} -C:/PROGRA~1/ALISOFT/TOOLBAR/ASSIST/YASBAR.DLL
O4 - HKLM/../RUN: [STUP.EXE] RUNDLL32.EXEC:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL ,Rundll32 R
O11 - IE扩展选项组:TBH (中文搜搜) =
O24 - SHLEXECHOOK: [WINDOWS] - {1AD50A6B-2E1B-417F-A1EB-BB539E9EA06E} =C:/DOCUME~1/user/LOCALS~1/TEMP/TMP152HR.DLL
O24 - SHLEXECHOOK: [] - {9963387B-212E-4643-B207-82DAEA0E713D} =C:/PROGRAM FILES/INTERNET EXPLORER/PLUGINS/WN_SYS8X.SYS
O24 - SHLEXECHOOK: [4] - {4FA10261-B890-F432-A453-69F1023513F4} =C:/WINDOWS/FONTS/GJCSDYC.DLL
O24 - SHLEXECHOOK: [] - {C5E87A05-F463-4841-B19E-DD3EC3862368} =C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS
O24 - SHLEXECHOOK: [] - {EE12D60D-AD9A-4095-B839-3BE6862679FD} =C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.DAT
O24 - SHLEXECHOOK: [] - {A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E} =C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.WIN
===/
先卸载 中文搜搜。
到 http://purpleendurer.ys168.com 下载 bat_do 和 FileInfo。
用 FileInfo 提出文件信息。
把log中的红色显示的文件加入bat_do的待处理文件列表,全选,延时删除。然后选择其中一部分打包备份。再全选,改所选文件名,延时删除。
下载安装瑞星卡卡安全助手并运行,查杀了1个流氓软件,然后在高级功能—>[插件管理及卸载] 里把O2 和O24 项卸载掉
下载 Dr.Web CureIt! 扫描,结果如下:
/---
>>C:/Documents and Settings/user/Local Settings/Temp/tmp19.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp158.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmpB.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmp15.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp29.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/c8.jpg.exe 已被病毒感染 : Trojan.PWS.Gamania.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/sa.jpg.exe 已被病毒感染 : Trojan.PWS.Legmir.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/banner.jpg 已被病毒感染 : Trojan.PWS.Legmir.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmp24.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp2E.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp40.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmp3A.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmp48.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp56.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp4F.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmp4A.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmp50.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp5D.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
C:/Program Files/Alisoft/Toolbar/alilive.exe 是广告软件 Adware.Yassist
C:/Program Files/Alisoft/Toolbar/Assist/sremove.exe 是广告软件 Adware.Yassist
---/
文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.ime
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-27 16:38:9
修改时间 : 2008-1-31 9:34:40
访问时间 : 2008-1-31 0:0:0
大小 : 24203 字节 23.651 KB
MD5 : d4e88aca1c740d66dd41f773e4ae622c
SHA1: 4FEE9BCD6D86E05C791C960FEBC16DFA50F762AB
CRC32: 1b244c2e
Panda 9.0.0.4 2008.01.30 Trj/Lineage.GND
文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.jmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-27 16:48:37
修改时间 : 2008-1-31 8:49:54
访问时间 : 2008-1-31 0:0:0
大小 : 26777 字节 26.153 KB
MD5 : 4bcc4cc9a02dbdb5ccbe7306ce55b12e
SHA1: 6263960D48CB122A2210522F178EFDFCA3B973D9
CRC32: d1f76090
文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.New
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-27 16:48:38
修改时间 : 2008-1-31 9:34:40
访问时间 : 2008-1-31 0:0:0
大小 : 23670 字节 23.118 KB
MD5 : f6c372a34e9faaf96ff4d622b8377826
SHA1: FC7EB880F31C52741B24DC6AE1099F5C11384126
CRC32: 6556805f
Panda 9.0.0.4 2008.01.30 Trj/Lineage.GND
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/Sy_Win7k.Jmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-27 13:12:56
修改时间 : 2008-1-31 8:58:26
访问时间 : 2008-1-31 0:0:0
大小 : 34420 字节 33.628 KB
MD5 : 7daf501041f5241b2f13ce209e4fcfdd
SHA1: 9DAA180C7BE70F6531B7E2B1F498EA2F0116B0B1
CRC32: 237abf75
分享到:
相关推荐
iexplore.exe应用程序错误解决方法.docx
win7 IE8 iexplore.exe
错误应用程序名称: IEXPLORE.EXE,版本: 10.0.9200.16537,时间戳: 0x512347f7 错误模块名称: d3d9.dll,版本: 6.1.7601.17514,时间戳: 0x4ce7b7b3 异常代码: 0xc0000005 错误偏移量: 0x00118820 错误进程 ID: 0xe...
ie不能用?方便修复ie的批处理文件 @echo off ...regsvr32 /s oleaut32.dll regsvr32 /s shell32.dll echo 操作完成,请按任意键打开浏览器... pause>nul start iexplore.exe biatxue.ys168.com exit
iexplore.exe
最近安装了IE8浏览器玩玩,但是发现一个严重的问题,就是在访问某些页面的时候,经常会出现“ysFader:IEXPLORE.EXE - 应用程序错误”的提示,提示内容为“0x0262d580指令引用的0x0262d580内存。改内存不能read”,...
电脑总是弹出IEXPLORE.EXE遇到问题的错误提示的解决方法,非常实用。。。。
iexplore.exe是什么?.docx
IEXPLORE命令行参数一览.txt
iexplore.exe进程是什么.docx
iexplore.exe是什么进程-.docx
IEXPLORE.EXE-1B894AFB
IEXPLORE.EXE-F6A52C86
任务栏图标.VBS C:\Program Files\internet explorer\iexplore.exe 任务栏图标.ps1 C:\Program Files\internet explorer\iexplore.exe win7的锁定和解锁是分开的两个vbs。 win10的vbs和ps1效果一样,当任务栏已经...
IE 即 Internet ExplorerInternet Explorer,原称Microsoft Internet Explorer和Windows Internet Explorer,简称 IE,是微软公司推出的一款网页浏览器。
彻底解决IE浏览器“SysFader:IEXPLORE.EXE”应用程序错误[定义].pdf
win7桌面IE图标恢复 Windows Registry Editor Version 5.00 ...@="\"C:\\Windows\\System32\\rundll32.exe\" C:\\Windows\\System32\\shell32.dll,Control_RunDLL C:\\Windows\\System32\\inetcpl.cpl