救命！不能强制结束的maxthon.exe进程

deadman1

小弟，电脑装的是小红伞，偶然用大蜘蛛扫描。今天莫名其妙我发现在进程里面多了一个maxthon.exe进程，小弟并没有启动遨游浏览器，它自己就多了一个这个进程。我强制结束后，它自己有重新出现了！我确定肯定是病毒，于是我在安全模式下全盘用小红伞和大蜘蛛扫描了病毒，但是都没有发现！我又下载了一个 冰刃 来强制结束这个进程，也没能解决！另外我这个遨游是半年前装的，一直没有什么改动，就是今天突然发觉它多了一个不能结束的进程！请知道朋友，帮帮我！

飞雪灬无痕

看看有没有可疑的服务 如果有就停掉 然后用SREng删除服务

shabikamwo

进程文件: maxthon.exe
进程名称: Maxthon Web Browser
英文描述: maxthon.exe is the process associated with the Maxthon Web Browser. Maxthon Web Browser is an IE6 based web browser but offers additional features. Disabling or enabling it is down信詹息辱进毡程绚库邻息绚processlib.net绑bbs.processlib.net贩www.processlib.net敏www.processlib.net兴 to user preference.
进程分析:
Maxthon(傲游)浏览器是一款基于IE内核的、多功能、个性化多页面浏览器。它允许在同一窗口内打开任意多个页面，减少浏览器对系统资源的占用率，提高网上冲浪的效率。同时它又能有效防止恶意插件，阻止各种弹出式，浮动式广告，加强网上浏览的安全。Maxthon支持各种外挂工具及IE插件，使您在Maxthon中可以充分利用信詹息辱进毡程绚库邻息绚processlib.net绑bbs.processlib.net贩www.processlib.net敏www.processlib.net兴所有的网上资源，享受上网冲浪的乐趣。
进程位置: unknown
程序用途: unknown   
作者: Maxthon
属于: Maxthon Web Browser   
  
  
  
安全等级 (0-5): 0 (N/A无危险 5最危险)
间碟软件: 否
广告软件: 否
病毒: 否
木马: 否
  
  
  
系统进程: 否
应用程序: 否
后台程序: 否
使用访问: 是
访问互联网: 是

看看这个进程是不是真正的遨游的进程，在看看它调用了什么模块，杀毒？呵呵，熊猫刚刚出来的时候谁能杀啊？不要一味的相信杀毒，要是怀疑有木马或者病毒，安装微点，那个是主动防御软件，病毒木马通吃，看你的都是杀病毒的，不是杀木马的，再说，熊猫出来的时候都是先杀杀毒软件的，我更相信微点

deadman1

楼上的朋友！我把遨游卸载了，但是他现在变成了IE的进程！！我晕了，怎么办啊？怎么看可疑的服务啊？我用了AVG查毒也没查出来

Orca

估计是隐藏的弹窗。
换了个浏览器就用默认的...

deadman1

sreng刚启动的时候它说“APIHookDll.dll 为非正常值，可能存在病毒”
现在不能结束的进程是iexplore.exe ,文件的地址在正常的ie文件夹里面。
在system32里面也有一个iexplore.exe ，我已经手动删除！但是没有效果

伊の星

用sreng扫分报告上传一下看。

shabikamwo

原帖由 deadman1 于 2007-10-20 23:23 发表
sreng刚启动的时候它说“APIHookDll.dll 为非正常值，可能存在病毒”
现在不能结束的进程是iexplore.exe ,文件的地址在正常的ie文件夹里面。
在system32里面也有一个iexplore.exe ，我已经手动删除！但是没有效果

system32里面也有一个iexplore.exe
这个可以肯定就是病毒！！！

进程文件: iexplore.exe
进程名称: Microsoft Internet Explorer
英文描述: iexplore.exe is the main executable for Microsoft Internet Explorer. This
Microsoft Windows application allows you to surf the world wide web and
the Internet. This program is a non-essential process, but should not be
terminated unless suspected to be causing problems.
进程分析:
InternetExplorer(IE)是Windows系统中的网络浏览器，用于访问Internet。如
果您并没开IE却也有这个进程，就要注意可能是感染了病毒，正常
iexplore.exe应位于ProgramFiles\InternetExplorer文件夹中，而该病毒程序
则可能位于System32中。

进程位置: unknown
程序用途: unknown
作者: Microsoft Corp.
属于: Microsoft Internet Explorer

安全等级 (0-5): 0 (N/A无危险 最危险)
间碟软件: 否
广告软件: 否
病毒: 否
木马: 否

系统进程: 是
应用程序: 是
后台程序: 否
使用访问: 是
访问互联网: 是

建议你安装微点，他可以删除病毒并且能杀出病毒的滋生物！
或者

iexplore.exe进程是Microsoft Internet Explorer的主要程序。这个微软Windows应用程序让你在网上冲浪，与访问本地Interanet相网络。它并不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。iexplore.exe进程同时也是Avant网络浏览器的一个部分，这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe进程也有可能是Trojan.KillAV.B病毒，该病毒会终止你的反病毒软件，和一些Windows系统工具，该进程的安全等级是建议删除
这个东西可以说是病毒，也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE，但是它一般情况随系统被安装在C:\Program Files\Internet Explorer下面。那么，如果发现这个文件是在这个目录下面的，一般情况不是病毒，当然，不包括已经被感染了的情况；还有一种情况，就是IEXPLORE.EXE在C:\WINDOWS\system32\下面，那么这个十有八九都是病毒。
如果你没开IE,一般不会出现iexplore.exe 的,如果有90%中招了～～～
中毒情况如下：浏览器被劫持了，或者病毒名为：IEXPL0RE.EXE，注意，这里是0，不是O
如果是病毒名为IEXPL0RE.EXE，进入安全模式或DOS，最新病毒库查杀，前提是杀毒软件不要太次。
如果是浏览器被劫持，在注册表里搜索所有RUN项，看看是否有可疑文件启动路径，还有搜索IEXPLORE.EXE，看看启动项后面是否有尾巴，也就是有跟随IEXPLORE.EXE启动的项目(例如IE后面跟随 C:\\windows\\system32\\***.exe或者.dll）。

iexplore.exe进程－－病毒
系统进程－－伪装的病毒iexplore.exe
Trojan.PowerSpider.ac破坏方法：密码解霸V8.10。又称“密码结巴”
偷用户各种密码，包含：游戏密码、局域网密码、腾讯QQ账号和密码、POP3密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广，对广大互联网用户的潜在威胁也巨大。
现象：
1.系统进程中有iexplore.exe运行，注意，是小写字母
2.搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹，而是WINDOWS32文件夹。
解决办法：
1.到C:\\WINDOWS\\system32下找到iexplore.exe和psinthk.dll完全删除之。
2.到注册表中，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
\\Run“mssysint”=iexplore.exe,删除其键值

1、系统开机，没有启动IE的情况下，进程中有iexplore.exe运行，用户是：SYSTEM；

2、搜索该程序iexplore.exe，位于C:\WINDOWS\system32下面。

解决方法：

十有八九，你是中了 Trojan.PowerSpider.ac 木马病毒，它偷取用户各种密码，包含：游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。

查杀方法：

1、到C:\WINDOWS\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。

2、到注册表中，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run“mssysint”= iexplore.exe，删除其键值。

另一种情况，开机的时候，没有开浏览器,进程管理器就有进程 IEXPLORE.EXE ，大写的，这个也是绝对的病毒。解决方法如下

一、删除以下两个文件：
c:\windows\system32\twunk32.exe
c:\Program Files\Tencent\QQ2006\TIMPlatform.exe
二、删除注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]下面的load键。
重启OK，我就是用这个方法清除掉的。

注意要在安全模式下删除。

deadman1

楼上的朋友！！很感谢你的回答那么详细，我本来要粘贴sreng报告的！但是粘贴在这个里面是乱码！我也不知道怎么回事。
另外我在缚博发帖，有一个叫 风笛往事 的版主告诉我
1、关闭系统还原 #cQ[ vE)y  
2、使用冰刃，设置为禁止进程和线程创建 5jg^ 12EP  
3、在sreng中，把启动项:  <N/A><C:\WINDOWS\system32\winedsx32.scr>删除 >.#uoW4ZV  
4、sreng中，修复系统关联 /,= wP)  
5、使用冰刃“文件”选项中，找到  C:\WINDOWS\system32\winedsx32.scr，并删除 lV$U!v: b  
6、如果不愿意使用maxthon的话，重启电脑进入安全模式，到E:\Maxthon1下，去卸载maxthon
PS:怎么看起来是乱码？？
我按照他的方法已经把病毒杀除了！感谢看过这个帖子的朋友
我把扫描报告贴出来，就当大家学习哈技术！这个病毒 小红伞，蜘蛛，AVG都没得法！

('oUcDOFTS  
System Repair Engineer 2.5.16.900 4[wP$  
Smallfrogs (http://www.KZTechs.com) {5`?0+  
>Fh@:M7z  
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能 T~E83Jw  
RCr:2 Iz  
以下内容被选中： /j As`"U  
    所有的启动项目（包括注册表、启动文件夹、服务等） e ^QOn  
    浏览器加载项 w.\:I[  
    正在运行的进程（包括进程模块信息） fx},.P=:*  
    文件关联 "]<Ut{Xb  
    Winsock 提供者 e [n>U@  
    Autorun.inf  <_~`)t  
    HOSTS 文件 gd*\,P  
    进程特权扫描 Kfh"XpWc$  
B!Y;VdX  
Kf*+Ilq%L  
启动项目 @m6E*2Gg  
注册表 e>[QF+e)y  
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] F=cO=5Iz  
    <load><>  [N/A] /2c?+04+  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] .gB#g{5+J  
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Windows Publisher] 'vXrA  
    <avgnt><"C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min>  [Avira GmbH] PpbW+}aCF  
    <cFosSpeed><E:\cfoespeed\cFosSpeed.exe>  [(Verified)cFos Software GmbH] T =:^k+  
    <KernelFaultCheck><; %systemroot%\system32\dumprep 0 -k>  [N/A] ruoiG?:T  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] TygR G+G-  
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher] K]RkKMT,  
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher] zD?<m J`  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] 
=_,w<  
    <AppInit_DLLs><APIHookDll.dll>  [N/A] ~dC^|  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] i2EB.Zlv  
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher] 6zyozJA  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}] LTrn$k3}  
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [N/A] k pEES{f  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] RoP z?,u  
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A] !<@Zf4 m  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] ~,.Agx  
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A] ACc.&,!IZ  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] t/pHdxX*C7  
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A] p\~ lPXK  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] sLPFeibof5  
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows Publisher]  jmz, 1[  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}] PKty'}
KF  
    <Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser>  [(Verified)Microsoft Windows Publisher]
XQ.JzzY$  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] FX4](oM  
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub>  [(Verified)Microsoft Windows Publisher] k5P&F  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}] *4dA(N\k"  
    <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A] : DCj2"  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}] 120<(#  
    <N/A><C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install>  [Microsoft Corporation] ,yNPD}@v>  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{FA8F0DFD-07F2-B765-A610-08C4FE6A40F8}] VX2 KE@  
    <N/A><C:\WINDOWS\system32\winedsx32.scr>  [] (& =-o(  
m1heU3BUWU  
================================== 7  g8SK  
启动文件夹 .DMeW i  
N/A ~*GJO74  
{OL*E0  
================================== $]<CC`

deadman1

怎么有乱码哦！！