一般地域管辖:iexplore.exe是什么病毒？用户名是system！要怎么才能彻底搞定它？

不要嫌多，你也可以用瑞星的最新版，就是不太彻底

杀w32.lovegate.R@mm病毒经验谈

我最近到一个企业做软件服务,在建立internet共享后,发现网站打开很慢,有的甚至打不开!打开进程管理,查找CPU资源占用情况,发现CPU占用率98%!惊奇之余,查找进程里的文件,发现一个可疑文件NetMeeting.exe,占用了不少资源.NetMeeting.exe 感觉好象是NetMeeting的主程序,但我启动NetMeeting后,发现它的程序名并不叫NetMeeting.exe,从而确定这又是一个隐藏的比较深的病毒!同时,在硬盘的所有分区的根目录下发现很多奇怪的.zip和.rar文件,问企业相关人员,都说不是他们做的压缩文件,看来和病毒有关.用杀毒软件查杀,发现该病毒叫w32.lovegate.R@mm,在杀该病毒的时候,杀毒软件被中断运行,自动退出,使系统彻底失去保护,而且启动不开了!这下愁了,到网上下载专杀工具吧,找了诺顿专杀和瑞星专杀,查出了病毒,并杀掉,重启机器,连接internet后,看进程,又发现了neetming.exe文件,打开一个分区,眼睁睁地看到若干.zip和.rar正在被建立,这病毒厉害啊,看来真的好好对付它了,然后又查看了局域网内的其他机器，发现大多数机器都感染了这个病毒。到网上查找相关资料,了解此病毒的特点,(相关资料附后)及杀毒方法,在一些论坛上看了若干帖子,有很多求救和解决方法,很多解决方法过程很烦琐,要改注册表等等,我是没那耐心.首先要处理的机器是代理服务器，它不仅是internet代理服务器，还是vpn服务器，如果杀不干净,后患无穷!说干就干,拔掉所有网线,光盘启动,格式化所有分区,安装WINDOWS 2000 SERVER,设置上administrator用户密码,（有资料说此病毒利用弱口令攻击电脑）装上杀毒软件，然后插上上网的那根网线,拨号上网,更新杀毒软件,再查进程,好了,正常了!然后安装好SYGATE,插上局域网网线,到别的机器上一试,好了,速度也不错.我以为万事大吉,就去干别的活了,一会别人又来找我,说机器又慢了,而且杀毒软件不停地出来有病毒提示.我去一看,完了,病毒又回来了.这下愁大了,只好坐下来,到网上继续查资料,终于发现有人介绍说要到安全模式下杀毒才行.于是到安全模式下,用瑞星专杀工具,清除了6个病毒,同时把局域网上所有装2000和XP的机器都杀了一遍.再启动上网,很不幸,该病毒再次光临.难道瑞星不好用？换诺顿专杀工具,居然杀了20多个存在病毒的文件,看来诺顿比瑞星的专杀工具好用些.说了太多了,看官们都烦了.说说我如何解决这个问题的吧.
解决方法:VPN服务器比较重要,所以我还是断开所有网络,格式化硬盘,重装windows 2000 server,administrator口令密码设上（密码起的复杂点）,通过移动硬盘(确保无毒)打上ie6和sp4补丁,装上瑞星2004,连上ADSL网线,拨号上网,先升级瑞星病毒库,完毕后利用WindowsUpdate，进微软升级网站安装所有关键更新.（这步很重要，我当时以为只要把杀毒软件装上，并升级到最新，补丁以后慢慢装应该不会感染上病毒，事实证明不是这样，如果局域网上其他机器还有此病毒，那么这个机器还是会感染上病毒。所以补丁必须要及时打上。）这样这个机器就高枕无忧了.可以连上局域网网线了.并设置好sygate软件.然后把我下载的诺顿FixLGate.com专杀工具放到共享文件夹里,到其他机器上,把这个文件复制到桌面上,(这样方便,因为看资料说,杀毒过程中不可双击文件夹,不知道是真是假,尽量避免吧.),拔掉网线,然后进入安全模式,点击桌面上的FixLGate.com杀毒,清理干净后,重启机器,然后的步骤同上.升级完毕后,将机器的分区中的.zip和.rar这些文件删掉即可.从此,可恶的病毒不再来了.
我的心得:

1. 对使用Windows操作系统的用户，为预防病毒和木马,对自己的爱机一定要装上杀毒软件和微软的各种安全补丁,最好也装上防火墙（Windows XP打上sp2后，用它自身的防火墙即可），并及时升级，最好设置成“自动升级”。上面所提的单位就是没有及时更新Windows“安全更新”，虽然机器上装了杀毒软件，但还是没有阻挡住病毒的入侵;

2. 对超级用户一定不能使用弱口令，我以前到另外一个单位去，也发现了“爱情后门”（lovegate）的另一个变种，这个单位的Administrator用户口令都是空，该病毒就是利用这个漏洞在局域网内广泛传播，即使用杀毒软件查杀，但杀完后，连上局域网后，别的机器上的病毒又把它感染了，后来给Administrator用户加上口令后，问题解决;

3. 万一中毒,一定要先仔细找相关资料研究,根据其特点想出对策.不可盲目杀毒.我写得简单,其实我对付这个病毒用了2天的时间,中间走了很多弯路,教训啊,切记!

附:有关W32.Lovgate.R@mm的相关资料:
病毒名：W32.Lovgate.R@mm

该病毒发现于2004年4月5日
描述最近更新于2004年4月27日
Symantec划定其危险等级为2级

W32.Lovgate.R@mm是W32.Lovgate@mm的变种之一，是一种蠕虫病毒，
具有电子邮件群发性质，可以用多变的电子邮件形式将自身传播到其他计算机。
W32.Lovgate.R@mm由C++编写，实行了JDPack和ASPack压缩。

别名：W32/Lovgate.x@MM [McAfee], I-Worm.LovGate.w [Kaspersky]
国内的金山公司将Lovgate系列病毒命名为Supnot系列
感染长度：128,000字节——即125KB

受威胁的操作系统：Windows 95/98/Me/NT/2000/XP
免疫的操作系统：DOS,Linux,Macintosh,OS/2,UNIX,Windows 3.×

Symantec 公司的 Norton AntiVirus 产品 2004年4月5日 之后的病毒定义对该病毒有效

部分主要技术参数：
[注意：其中的特征可以作为判定感染病毒的依据！破折号是需特别注意的]
当W32.Lovgate.R@mm病毒被激活时，会出现如下症状——

（1）病毒将自身复制到
％Windir％\Systra.exe
％System％\Hxdef.exe
％System％\iexplore.exe —— 注意区别于IE浏览器的iexplore.exe
％System％\RAVMOND.exe —— 这个文件名易被误认作是瑞星杀毒软件的组件名
％System％\Kernel66.dll —— 该文件具有只读、隐藏和系统属性
％System％\WinHelp.exe
其中％Windir％ 为 WINNT 目录（Windows2000系统）或 WINDOWS 目录（WindowsXP系统），
％System％ 为 ％Windir％ 目录下的 system32 目录。

（2）创建后门/木马组件
％System％\ODBC16.dll
％System％\Msjdbc11.dll
％System％\MSSIGN30.DLL
％System％\LMMIB20.DLL
这些文件都具有 53,760 字节的长度。

（3）创建文件
％System％\NetMeeting.exe —— 易混淆于Windows的NetMeeting程序组件
％System％\spollsv.exe —— 易混淆于Windows的打印池/打印进程spoolsv.exe
这些文件具有 61,440 字节的长度。

（4）对注册表的操作
将键值
"Hardware Profile"="％System％\hxdef.exe
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program in Windows"="％System％\IEXPLORE.EXE"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="％System％\spollsv.exe"
"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
"WinHelp"="％System％\WinHelp.exe"
添加到位置
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

将键值
"SystemTra"="％Windir％\Systra.exe"
添加到位置
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

将键值
"run"="RAVMOND.exe"
添加到位置
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

可能生成
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1

上述注册表操作使得病毒可以在各种受感染的操作系统启动时自动运行。

（5）对进程的操作
终止下列服务——
Rising Realtime Monitor Service
Symantec Antivirus Server
Symantec Client

新建服务——
"Windows Management Protocol v.0 (experimental)"
映射到"Rundll32.exe msjdbc11.dll ondll_server"

新建服务——
"_reg"映射到"Rundll32.exe msjdbc11.dll ondll_server"

终止含有下列字符串的进程——
KV;KAV;Duba;NAV;kill;RavMon.exe;Rfw.exe;Gate;McAfee;Symantec;SkyNet;rising

（6）运行后门程序
在计算机的6000端口运行后门程序，
该程序窃取计算机信息并存储于C:\Netlog.txt，
并由蠕虫以电子邮件形式发送给攻击者。

（7）在局域网中传播
以下列文件名将自身复制到网络共享文件夹和子文件夹中——
WinRAR.exe
Internet Explorer.bat
文档s and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
Windows更新.pif
Cain.pif
MSDN.ZIP.pif
auto执行.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
注意：如果计算机设置为隐藏已知类型文件的扩展名（默认设置），
则上述文件更具有欺骗性，容易误操作导致病毒激活！

扫描局域网上的所有计算机，用Administrator用户名和一组简单密码，
密码列表见本版精华区Symantec的技术资料。

如果病毒成功登录远程计算机，它将会把自身复制到
\\<远程计算机名>\Admin\system32\NetManager.exe
并将该程序启动为名为"Windows Management NetWork Service Extensions"的服务。

（8）一些本地操作
向 Explorer.exe 或 Taskmgr.exe 注入一个进程，
该进程会在蠕虫病毒未运行或者被删除时尝试复制自身并运行。

在一个随机的端口打开本地计算机的 FTP 服务，并且不设置身份验证。

建立一个网络共享名"Media"指向"％Windir％\Media"。

在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成
文件名为
WORK；setup；Important；bak；letter；pass
扩展名为
RAR；ZIP
的压缩文件，

其中包含
文件名为
WORK；setup；Important；book；email；PassWord
扩展名为
exe；com；pif；scr
的病毒副本。
注意：上面这点是该病毒最显著的特征，这些文件具有相同的 125K 大小。

在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成 Autorun.inf，
并将自身复制为同路径下的 Command.com，这将导致双击驱动器无法进入并激活病毒。
注意：上面这点是该病毒的另一显著特征。

扫描所有驱动器并试图将 .exe 文件更名为同名的 .zmx 文件，
再将病毒体本身复制为原先的 .exe 文件。
注意：上面这点也是该病毒很显著的特征。

（9）对外传播
试图通过TCP的135端口，以及微软的DCOM RPC漏洞（MS03-026）向外传播。

自动带毒回复所有到达本地的电子邮件，通过诸如 Outlook 的工具。

在本地计算机自动搜索电子邮件地址并通过病毒本身的SMTP服务器发送带毒邮件。

判别方法：
感染 W32.Lovgate.R@mm 的比较显著的特征——
出现125K大小的不明来源的压缩包；
双击无法进入驱动器，可能提示 Command 错误；
在存放 .exe 文件的目录下出现 .zmx 文件；
Outlook等电子邮件客户端自动发送信息等……

杀毒方法：
Symantec公司提供了一款专杀工具 —— FixLGate.com
此专杀工具针对 W32.Lovgate.R@mm 以及 W32.Lovgate.[A-L]@mm，
使用此工具时请注意下列问题——
（1）如果操作系统是 Windows Me 或者 Windows XP，关闭系统还原功能；
（2）启动计算机到安全模式（开机时按 F8 出现选单）；
（3）进入安全模式后不要进行双击操作，要以 右键--打开 代替；
（4）最好是在断开网络的情况下进行操作。

也可以使用更新了病毒定义的 Norton AntiVirus 系列产品来杀毒，注意事项同上。

杀毒后请尽快连接到 Windows更新 网站进行更新，
确保计算机已经安装了所有检测到的关键更新。

预防措施：
（1）经常去 Windows更新 网站获取更新；
（2）安装可靠的实时监控的反病毒软件，并经常更新，推荐也安装防火墙；
（3）不进行局域网上的文件共享；
（4）为 Administrator 帐号设置高强度的密码；
（5）不要轻易运行电子邮件的附件，尤其当附件是文中提到的格式（可执行）时；
（6）对文中出现名称的未知来源的压缩包进行 Shift+Del 操作；
（7）及时在 Symantec 网站或本版获得病毒的最新信息以及应对措施。

这个是ie浏览器的进程，当然也不排除有病毒感染了他

..............这个不是病毒,伱网页打开了.可能是后台打开的所以伱看见网页打开.

IEXPLORE.EXE是病毒吗?
在进程里先结束IEXPLORE.EXE然后到网上找相关的杀毒工具
iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪，和访问本地Interanet网络。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分，这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒，该病毒会终止你的反病毒软件，和一些Windows系统工具，该进程的安全等级是建议删除
这个东西可以说是病毒，也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE，但是它一般情况随系统被安装在C:\Program Files\Internet Explorer下面。那么，如果发现这个文件是在这个目录下面的，一般情况不是病毒，当然，不包括已经被感染了的情况；还有一种情况，就是IEXPLORE.EXE在C:\WINDOWS\system32\下面，那么这个十有八九都是病毒。

iexplore.exe进程－－病毒

系统进程－－伪装的病毒 iexplore.exe
Trojan.PowerSpider.ac 破坏方法：密码解霸V8.10。又称“密码结巴”
偷用户各种密码，包含：游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广，对广大互联网用户的潜在威胁也巨大。

现象：
1。系统进程中有iexplore.exe运行，注意，是小写字母
2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹，而是WINDOWS32文件夹。

解决办法：
1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
2。到注册表中，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
\\Run “mssysint”= iexplore.exe,删除其键值