雪山飞云 - 2005-7-24 15:08:00
最近WinDVD 开不了(进程里有,但却不执行),Coolstreaming 也用不了,感觉怪怪的,用木马查了下,发现可以文件c:\windows\system32\Cq.dll ,怀疑为传奇木马,瑞星查不到:
1. 隐藏属性,dos 下可以查看;
2. 用del c:\windows\system32\Cq.dll /s/ah , 无法删除,提示访问被拒绝,在安全模式下也是一样;
3. HijackThis,查不出此进程;
此文件是否为木马,该怎么处理,请各位不吝指教啊!
salaried - 2005-7-24 15:20:00
使用ICESWORD查看该文件和进程.
工具在附件中
附件:
2416452005724153224.rar
雪山飞云 - 2005-7-24 15:28:00
| 引用: |
【salaried的贴子】使用ICESWORD查看该文件和进程.
........................... |
能提供下工具吗,我没有这个工具!
命运里の金色 - 2005-7-24 15:37:00
看一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks右边有没有{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}?
如果有把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks右边的{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}删除,还要把HKEY_CLSSSES_ROOT\CLSID\{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}删除.
重新启动后应该就可以直接删除掉病毒文件cq.dll了.
来自海色の月
雪山飞云 - 2005-7-24 15:48:00
| 引用: |
【命运里の金色的贴子】看一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks右边有没有{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}?
如果有把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks右边的{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}删除,还要把HKEY_CLSSSES_ROOT\CLSID\{86F4BDA2-C04B-4662-953A-9A47C1F10CSC}删除.
重新启动后应该就可以直接删除掉病毒文件cq.dll了.
来自海色の月
........................... |
只有 "{86F4BDA2-C04B-4662-953A-9A47C1F10C5C}"
雪山飞云 - 2005-7-24 16:01:00
| 引用: |
【salaried的贴子】使用ICESWORD查看该文件和进程.
工具在附件中
........................... |
找到文件后,如何监视其进程呢?
命运里の金色 - 2005-7-24 16:10:00
删除下面木马文件
C:\WINNT\system32\Cq.dll
system32\cba\task.exe
C:\windows\temp\Install\setup.exe
system32\icon <-整个文件夹
system32\inetsrv\inet.exe
system32\appmgmt <-整个文件夹
传奇木马
删除不掉的地方用killbox,
普通删除没用的话
选择删除后重启!
附件为killbox
附件:
4147582005724161150.rar
雪山飞云 - 2005-7-25 22:17:00
| 引用: |
【命运里の金色的贴子】删除下面木马文件
C:\WINNT\system32\Cq.dll
system32\cba\task.exe
C:\windows\temp\Install\setup.exe
system32\icon <-整个文件夹
system32\inetsrv\inet.exe
system32\appmgmt <-整个文件夹
传奇木马
删除不掉的地方用killbox,
普通删除没用的话
选择删除后重启!
附件为killbox
........................... |
C:\WINNT\system32\Cq.dll & system32\appmgmt 删掉了,其他几个没找到!
命运里の金色 - 2005-7-25 22:22:00
雪山飞云 - 2005-7-25 22:35:00
【回复“命运里の金色”的帖子】
开了显示隐藏啊,用"icesword' 删了 "cq.dll' 重起了还有.
雪山飞云 - 2005-7-25 22:41:00
| 引用: |
【雪山飞云的贴子】【回复“命运里の金色”的帖子】
开了显示隐藏啊,用"icesword'' 删了 "cq.dll'' 重起了还有.
........................... |
木马还是发现非法进程
附件:
4805562005725224119.JPG
bobo无极限 - 2005-7-25 22:48:00
楼上高手不少,我要好好学习.
雪山飞云 - 2005-7-25 23:08:00
| 引用: |
【bobo无极限的贴子】楼上高手不少,我要好好学习.
........................... |
我还是菜鸟一只!
雪山飞云 - 2005-7-25 23:46:00
【回复“雪山飞云”的帖子】
兄弟姐妹门啊,大虾高手门啊,帮忙帮忙啊!
命运里の金色 - 2005-7-26 7:08:00
运行-msconfig,看看启动项里有没有什么可疑的?
雪山飞云 - 2005-7-28 0:46:00
| 引用: |
【命运里の金色的贴子】运行-msconfig,看看启动项里有没有什么可疑的?
........................... |
没有可疑的启动项!
我上网查了下,
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{86F4BDA2-C04B-4662-953A-9A47C1F10C5C}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{86F4BDA2-C04B-4662-953A-9A47C1F10C5C}]
含有 Cq.dll 的启动项,我手动删除了,重起看看可以删除不?!
重起后木马查看进程已没有了,并可以删除cq.dll,啊,忘了备分了!
冷雨夜阑 - 2005-7-28 0:48:00
killbox直接运行这个删除C:\WINNT\system32\Cq.dll
system32\cba\task.exe
C:\windows\temp\Install\setup.exe
system32\icon
system32\inetsrv\inet.exe
system32\appmgmt
salaried - 2005-7-28 1:19:00
| 引用: |
【雪山飞云的贴子】
C:\WINNT\system32\Cq.dll & system32\appmgmt 删掉了,其他几个没找到!
........................... |
不管他找得到找不到,直接将路径复制到KILLBOX后删除试试
雪山飞云 - 2005-7-28 21:27:00
| 引用: |
【salaried的贴子】
不管他找得到找不到,直接将路径复制到KILLBOX后删除试试
........................... |
都试过了,但找不到文件,也不知道杀掉没!
能帮忙看看木马发现的另外几个可疑文件吗?如我没有启动mp3,为什么也会有 c:\windows\system32\mapinfp.dll 进程?
© 2000 - 2026 Rising Corp. Ltd.