微点交流论坛

标题: 此未知病毒无法真正杀除！INTERNET EXPLORER\IEDW.EXE [打印本页]

作者: liubo 时间: 2006-8-29 15:47 标题: 此未知病毒无法真正杀除！INTERNET EXPLORER\IEDW.EXE

病毒已经打包上报到virus@micropoint.com.cn
强烈建议增加一个直接病毒打包后上报的功能啊！

下面是日志的部分：
==================================================
木马名称木马进程名木马文件创建者
未知间谍软件 C:\PROGRAM FILES\INTERNET EXPLORER\IEDW.EXE.NEW C:\WINDOWS\SYSTEM32\WINLOGON.EXE
未知间谍软件 C:\PROGRAM FILES\INTERNET EXPLORER\IEDW.EXE
未知间谍软件 C:\WINDOWS\SYSTEM32\DLLCACHE\IEDW.EXE.NEW C:\WINDOWS\SYSTEM32\WINLOGON.EXE
==================================================搜索有关iedw的注册表项目，好像是修改了ie的搜索助手

由于只木马由winlogon生成，此进程又无法杀掉，木马在dllcache文件夹和ie文件夹相互复制，东方微点只监测出哪个文件有危害行动删哪个，而无法真正干掉病毒，并且会造成不停的报警删除。
我装的多个系统，切换到另外一个系统下才手动删除掉！

作者: Legend 时间: 2006-8-29 15:51
楼主可以发您的微点的程序生成日志、木马日志及系统自启动信息导出一并发送，我们帮您具体分析下

作者: flo 时间: 2006-8-29 19:33
IEDW.exe是正常的文件吧，使IE的崩溃检测程序。
至于在DLLCache里面有备份，也是因为它是正常文件，Windows为了防止正常文件被删除或修改，有Windows文件保护功能。

作者: idea 时间: 2006-8-29 20:45

Quote:

Originally posted by flo at 2006-8-29 19:33:
IEDW.exe是正常的文件吧，使IE的崩溃检测程序。
至于在DLLCache里面有备份，也是因为它是正常文件，Windows为了防止正常文件被删除或修改，有Windows文件保护功能。

同意~！

作者: fujianwzh 时间: 2006-8-30 15:58
已经有几个人都提到这个问题了。。。

作者: liubo 时间: 2006-8-30 17:38
哈哈，那就是微点误报了哦，反正微点要处理一下哦

作者: my028 时间: 2006-8-30 20:40
有点误报吧

作者: Legend 时间: 2006-8-31 15:07
经测试分析Winlogon.exe生成文件是windows一个保护机制，IEDW.EXE.NEW这个文件要还原被修改过的IEDW.EXE文件；
楼主可以暂时把它加入微点的可信程序，然后请等待微点的新版本的升级

作者: 乖仔 时间: 2006-9-30 12:41
WINLOGON 进程也有病毒的啊，楼主描述的情况我碰到过，最后是手工解决的。

作者: weater 时间: 2006-9-30 14:20
是误报楼主描述的情况我碰到过

作者: gudao 时间: 2006-9-30 16:15 标题: ^_^

^_^ ~~~

作者: pipogl 时间: 2006-12-27 17:07
我给删除了.我晕.真是微软的文件???怎么跟病毒一样? 你先建立个目录,然后复制iedw.exe这个文件的全名然后删除iedw.exe 然后把你新建立的目录名字粘贴成 iedw.exe 然后系统提示你插入windowsXP光盘.点取消,删除成功.晕啊.其目录还有一个文件和iedw.exe 是一样的删不掉的hmmapi.dll.如果大家都有的话,我......日了.怎么这样.

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn