inetinfo.exe病毒问题
从源头上说起, 主体是inetinfo.exe这个可执行文件.在我的电脑中所处的目录为:C:\Users\xx\AppData\Local\tubeinetinfo 其中,xx是我的管理员用户名1,我不能判断这个程序是否属于病毒,但根据其行为来看,应该是病毒释放出来的程序.
2.近期安装了火绒,然后火绒监控到了该程序释放出一些病毒进程,以下是火绒拦截日志
3.根据拦截时的发起程序,我找到了这个inetinfo.exe,现在的日志是简化版,无法看到其发起程序.不过我确定这些记录都是这个名为inetinfo.exe的程序发起的.
4.然后我尝试将这个程序正常手段卸载(其自带了一个卸载程序),以及直接强行删除,都没有用,另外会有程序将该程序的所需组件重新复制到该目录
5,接着我分别使用了:组策略禁止该程序运行,禁止该目录的访问权限,的确是阻止了该程序的运行,但是.
6.首先会有一个后台进程尝试安装inetinfo.exe,其会激活一个setup/uninstall前台程序,进行错误弹窗.
7.而这两个进程所在的目录,都是临时目录,并且在temp这个临时目录下,大量的复制了其副本.
8.使用火绒或系统自带的手段,我无法禁止该弹窗的出现,虽然并没有什么实际危害了,但开机弹一次,每隔两小时弹一次,非常的烦人
9,以上所提到的三个程序,应该都并不是该病毒的源头程序,因为对他们进行杀毒,都没有报毒
10.我百度过,这个inetinfo.exe是属于iis的组件,我已经禁用了关于iis的服务与windows功能,并且,百度得到的信息是,该程序应该在C:\WINDOWS\System32\inetsrv\
11.我想知道三个问题的答案,一,该程序是否是病毒程序.二,我能否通过某种技术手段监听到其源头发起程序,并将其解决掉,如果能,如何做.三,如果以上都无法解答,是否可以教我一种操作,将6中所提到的弹窗完全解决掉,因为是每次运行都临时生成,所以进程名并不相同,但我用组策略的哈希规则禁用,也不起作用.
全部家产求解决该问题
天道酱 发表于 2019-8-23 13:16
怎么看,我不会.下次再出现那个进程的时候,我打开火绒剑看看.不过现在打开看了并不知道怎么操作才能看到父 ...
......火绒剑的进程列表,他是树形列表呀..... 你都已经知道他复制了什么,改写了什么,你用PE系统,把他全部删除不就行了? 再说了,你看数字签名不就行了?微软自带的程序或者正规的程序一般都有数字签名的 hongge 发表于 2019-8-23 12:33
再说了,你看数字签名不就行了?微软自带的程序或者正规的程序一般都有数字签名的
首先,我所提供的这些,都不是最源头的程序,也就是说我不知道是哪个程序复制并执行了他们.
所以删掉这些并不能解决问题.
然后,我看过签名了,确实是没有签名的. 坐等高手出马 我寻思 这不是告诉你了吗 你电脑里有个流氓软件 在下载这些东西 你还不如把你装的软件名字发出来 火绒剑不是能看父进程么???启动安装程序的进程应该是看得到的呀 cutthesoul 发表于 2019-8-23 13:01
我寻思 这不是告诉你了吗 你电脑里有个流氓软件 在下载这些东西 你还不如把你装的软件名字发出来
电脑用了有两三年了,期间下载过很多不明软件,因为并没有显现出来,所以一直没有在意.
是近期才安装的火绒,所以不知道源头在哪. a952135763 发表于 2019-8-23 13:05
火绒剑不是能看父进程么???启动安装程序的进程应该是看得到的呀
怎么看,我不会.下次再出现那个进程的时候,我打开火绒剑看看.不过现在打开看了并不知道怎么操作才能看到父进程.
页:
[1]
2