瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 !求助:木马发现可疑文件: Cq.dll ,但无法删除,请高手指点!

12   1  /  2  页   跳转

!求助:木马发现可疑文件: Cq.dll ,但无法删除,请高手指点!

收藏
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-24 15:08 | 只看楼主 短消息 资料
字号: 1楼

!求助:木马发现可疑文件: Cq.dll ,但无法删除,请高手指点!

最近WinDVD 开不了(进程里有,但却不执行),Coolstreaming 也用不了,感觉怪怪的,用木马查了下,发现可以文件c:\windows\system32\Cq.dll ,怀疑为传奇木马,瑞星查不到:
  1. 隐藏属性,dos 下可以查看;
  2. 用del c:\windows\system32\Cq.dll  /s/ah , 无法删除,提示访问被拒绝,在安全模式下也是一样;
  3. HijackThis,查不出此进程;

此文件是否为木马,该怎么处理,请各位不吝指教啊!
最后编辑2005-07-28 21:27:43
分享到:
gototop
 
salaried
头像
卡卡巡查
  • 帖子:8064
  • 注册: 2003-12-18
  • 来自:卡卡督察总队巡查支队
论坛8周年活动礼物
发表于: 2005-07-24 15:20 | 短消息 资料
字号: 2楼

使用ICESWORD查看该文件和进程.
工具在附件中

附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-7-24 15:20:08
描述:
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-24 15:28 | 只看楼主 短消息 资料
字号: 3楼

引用:
【salaried的贴子】使用ICESWORD查看该文件和进程.
...........................


能提供下工具吗,我没有这个工具!
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-07-24 15:37 | 短消息 资料
字号: 4楼

看一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks右边有没有{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}?

如果有把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks右边的{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}删除,还要把HKEY_CLSSSES_ROOT\CLSID\{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}删除.

重新启动后应该就可以直接删除掉病毒文件cq.dll了.
来自海色の月
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-24 15:48 | 只看楼主 短消息 资料
字号: 5楼

引用:
【命运里の金色的贴子】看一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks右边有没有{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}?

如果有把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks右边的{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}删除,还要把HKEY_CLSSSES_ROOT\CLSID\{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}删除.

重新启动后应该就可以直接删除掉病毒文件cq.dll了.
来自海色の月

...........................


只有 "{86F4BDA2-C04B-4662-953A-9A47C1F10C5C}"
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-24 16:01 | 只看楼主 短消息 资料
字号: 6楼

引用:
【salaried的贴子】使用ICESWORD查看该文件和进程.
工具在附件中
...........................


找到文件后,如何监视其进程呢?
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-07-24 16:10 | 短消息 资料
字号: 7楼

删除下面木马文件

C:\WINNT\system32\Cq.dll
system32\cba\task.exe
C:\windows\temp\Install\setup.exe
system32\icon <-整个文件夹
system32\inetsrv\inet.exe
system32\appmgmt <-整个文件夹


传奇木马
删除不掉的地方用killbox,
普通删除没用的话
选择删除后重启!


附件为killbox

附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-7-24 16:10:47
描述:
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-25 22:17 | 只看楼主 短消息 资料
字号: 8楼

引用:
【命运里の金色的贴子】删除下面木马文件

C:\WINNT\system32\Cq.dll
system32\cba\task.exe
C:\windows\temp\Install\setup.exe
system32\icon <-整个文件夹
system32\inetsrv\inet.exe
system32\appmgmt <-整个文件夹


传奇木马
删除不掉的地方用killbox,
普通删除没用的话
选择删除后重启!


附件为killbox

...........................

C:\WINNT\system32\Cq.dll  & system32\appmgmt 删掉了,其他几个没找到!
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-07-25 22:22 | 短消息 资料
字号: 9楼

请象我图片里那样做,在找找看那些文件

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-25 22:22:06
描述:
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-25 22:35 | 只看楼主 短消息 资料
字号: 10楼

【回复“命运里の金色”的帖子】
开了显示隐藏啊,用"icesword' 删了 "cq.dll' 重起了还有.
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT