瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 !求助:木马发现可疑文件: Cq.dll ,但无法删除,请高手指点!

12   1  /  2  页   跳转

!求助:木马发现可疑文件: Cq.dll ,但无法删除,请高手指点!

收藏
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-24 15:08 | 显示全部 短消息 资料
字号: 1楼

!求助:木马发现可疑文件: Cq.dll ,但无法删除,请高手指点!

最近WinDVD 开不了(进程里有,但却不执行),Coolstreaming 也用不了,感觉怪怪的,用木马查了下,发现可以文件c:\windows\system32\Cq.dll ,怀疑为传奇木马,瑞星查不到:
  1. 隐藏属性,dos 下可以查看;
  2. 用del c:\windows\system32\Cq.dll  /s/ah , 无法删除,提示访问被拒绝,在安全模式下也是一样;
  3. HijackThis,查不出此进程;

此文件是否为木马,该怎么处理,请各位不吝指教啊!
最后编辑2005-07-28 21:27:43
分享到:
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-24 15:28 | 显示全部 短消息 资料
字号: 2楼

引用:
【salaried的贴子】使用ICESWORD查看该文件和进程.
...........................


能提供下工具吗,我没有这个工具!
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-24 15:48 | 显示全部 短消息 资料
字号: 3楼

引用:
【命运里の金色的贴子】看一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks右边有没有{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}?

如果有把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks右边的{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}删除,还要把HKEY_CLSSSES_ROOT\CLSID\{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}删除.

重新启动后应该就可以直接删除掉病毒文件cq.dll了.
来自海色の月

...........................


只有 "{86F4BDA2-C04B-4662-953A-9A47C1F10C5C}"
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-24 16:01 | 显示全部 短消息 资料
字号: 4楼

引用:
【salaried的贴子】使用ICESWORD查看该文件和进程.
工具在附件中
...........................


找到文件后,如何监视其进程呢?
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-25 22:17 | 显示全部 短消息 资料
字号: 5楼

引用:
【命运里の金色的贴子】删除下面木马文件

C:\WINNT\system32\Cq.dll
system32\cba\task.exe
C:\windows\temp\Install\setup.exe
system32\icon <-整个文件夹
system32\inetsrv\inet.exe
system32\appmgmt <-整个文件夹


传奇木马
删除不掉的地方用killbox,
普通删除没用的话
选择删除后重启!


附件为killbox

...........................

C:\WINNT\system32\Cq.dll  & system32\appmgmt 删掉了,其他几个没找到!
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-25 22:35 | 显示全部 短消息 资料
字号: 6楼

【回复“命运里の金色”的帖子】
开了显示隐藏啊,用"icesword' 删了 "cq.dll' 重起了还有.
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-25 22:41 | 显示全部 短消息 资料
字号: 7楼

引用:
【雪山飞云的贴子】【回复“命运里の金色”的帖子】
开了显示隐藏啊,用"icesword'' 删了 "cq.dll'' 重起了还有.
...........................


木马还是发现非法进程

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-25 22:41:19
描述:
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-25 23:08 | 显示全部 短消息 资料
字号: 8楼

引用:
【bobo无极限的贴子】楼上高手不少,我要好好学习.
...........................


我还是菜鸟一只!
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-25 23:46 | 显示全部 短消息 资料
字号: 9楼

【回复“雪山飞云”的帖子】
兄弟姐妹门啊,大虾高手门啊,帮忙帮忙啊!
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2005-07-28 00:46 | 显示全部 短消息 资料
字号: 10楼

引用:
【命运里の金色的贴子】运行-msconfig,看看启动项里有没有什么可疑的?
...........................

没有可疑的启动项!

我上网查了下,
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{86F4BDA2-C04B-4662-953A-9A47C1F10C5C}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{86F4BDA2-C04B-4662-953A-9A47C1F10C5C}]
含有 Cq.dll 的启动项,我手动删除了,重起看看可以删除不?!


重起后木马查看进程已没有了,并可以删除cq.dll,啊,忘了备分了!
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT