木马问题
发现木马:C:\WINDOWS\system32\dnsq.dll用360杀的会不会是报错?免疫文件是什么东西呢解释下麻烦...
发现木马:
C:\WINDOWS\system32\dnsq.dll
用360杀的 会不会是报错?
免疫文件是什么东西呢 解释下 麻烦 展开
C:\WINDOWS\system32\dnsq.dll
用360杀的 会不会是报错?
免疫文件是什么东西呢 解释下 麻烦 展开
8个回答
展开全部
这个病毒具有“帕虫”或称“AV终结者”的某些特征,试图终止正在运行的杀毒软件进程,映像劫持大多数的杀毒软件、防火墙及手工杀毒的安全工具,在系统盘外的其它盘生成autotun.inf及安装文件。
同时,该病毒下载如下木马和广告软件——
Trojan.Win32.Agent.pow
Adware.Win32.CPush.g
Adware.Win32.CPush.e
Adware.Win32.Dodolook.b
Adware.Win32.Agent.num
该木马群成功感染后所有杀毒软件被禁止或劫持,桌面(或称Window Shell)explorer.exe被注入和劫持,某些情下安全模式被破坏。所以,完全清除对具有一定的难度,需要一点耐心、信心和电脑操作熟练度。
解决办法:
1、准备工具IceSword和SREng,下载地址:
System Repaire Engineer(SRE)
下载:http://www.kztechs.com/sreng/download.html
使用方法:http://www.kztechs.com/sreng/help2/
冰刃(IceSword)1.20
http://www.ttian.net/website/2005/0829/391.html
2、由于这两个工具被映像劫持了,将它们解压后,运行时先将可执行文件IceSword.exe和SREngPS.exe改为随便一个其它的名字,比如“1234.exe”运行。由于各盘被释放了autorun.inf,清理过程中注意不要双击或点右键打开任何盘。运行工具软件从开始菜单运行。
3、运行IceSword,在“文件”菜单点“设置”,勾“禁止进线程创建”,点“确认”,然后在进程列表中删除“eqrdrnr.exe”和“websrdu.exe”。然后再允许进线程创建。
在文件列表中,找到下列文件,并强制删除:
C:\Program Files\Common Files\Microsoft Shared\websrdu.exe
C:\Program Files\Common Files\System\eqrdrnr.exe
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
d:\txwslhg.exe
e:\txwslhg.exe
f:\txwslhg.exe
3、运行SREng,在“系统修复/高级”中,修复安全模式;在“启动项目/注册表”中,删除所有红色的IFEO项目,删除“eqrdrnr.exe”和“websrdu.exe”的启动项目。
4、参照Trojan.Win32.Agent.pow的处理办法删除对explorer.exe的注入(结束explore.exe进程,删除那些注入的文件,然后重启explore.exe):
http://hi.baidu.com/sanluxia/blog/item/977959f7e7f93720730eec6d.html
5、现在杀毒软件应该可以运行了,启动运行并升级。然后重新启动,到安全模式,用你的杀毒软件扫描全部硬盘。
补充说明:
由于木马群的相互作用,以及杀毒软件可能在其中做了部分清除工作,各中毒机器的具体情况可能与上述情况并不完全一样。网友们可以将上述解决办法作为一个解决问题的思路参考。
关于“AV终结者”或“帕虫”的详细资料,参见如下:
http://forum.ikaka.com/topic.asp?board=28&artid=8322881
http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html
http://forum.ikaka.com/topic.asp?board=28&artid=8315857
Author: Sanluxia
Aug. 10, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.
参考资料:转载http://zhidao.baidu.com/question/34280413.html
同时,该病毒下载如下木马和广告软件——
Trojan.Win32.Agent.pow
Adware.Win32.CPush.g
Adware.Win32.CPush.e
Adware.Win32.Dodolook.b
Adware.Win32.Agent.num
该木马群成功感染后所有杀毒软件被禁止或劫持,桌面(或称Window Shell)explorer.exe被注入和劫持,某些情下安全模式被破坏。所以,完全清除对具有一定的难度,需要一点耐心、信心和电脑操作熟练度。
解决办法:
1、准备工具IceSword和SREng,下载地址:
System Repaire Engineer(SRE)
下载:http://www.kztechs.com/sreng/download.html
使用方法:http://www.kztechs.com/sreng/help2/
冰刃(IceSword)1.20
http://www.ttian.net/website/2005/0829/391.html
2、由于这两个工具被映像劫持了,将它们解压后,运行时先将可执行文件IceSword.exe和SREngPS.exe改为随便一个其它的名字,比如“1234.exe”运行。由于各盘被释放了autorun.inf,清理过程中注意不要双击或点右键打开任何盘。运行工具软件从开始菜单运行。
3、运行IceSword,在“文件”菜单点“设置”,勾“禁止进线程创建”,点“确认”,然后在进程列表中删除“eqrdrnr.exe”和“websrdu.exe”。然后再允许进线程创建。
在文件列表中,找到下列文件,并强制删除:
C:\Program Files\Common Files\Microsoft Shared\websrdu.exe
C:\Program Files\Common Files\System\eqrdrnr.exe
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
d:\txwslhg.exe
e:\txwslhg.exe
f:\txwslhg.exe
3、运行SREng,在“系统修复/高级”中,修复安全模式;在“启动项目/注册表”中,删除所有红色的IFEO项目,删除“eqrdrnr.exe”和“websrdu.exe”的启动项目。
4、参照Trojan.Win32.Agent.pow的处理办法删除对explorer.exe的注入(结束explore.exe进程,删除那些注入的文件,然后重启explore.exe):
http://hi.baidu.com/sanluxia/blog/item/977959f7e7f93720730eec6d.html
5、现在杀毒软件应该可以运行了,启动运行并升级。然后重新启动,到安全模式,用你的杀毒软件扫描全部硬盘。
补充说明:
由于木马群的相互作用,以及杀毒软件可能在其中做了部分清除工作,各中毒机器的具体情况可能与上述情况并不完全一样。网友们可以将上述解决办法作为一个解决问题的思路参考。
关于“AV终结者”或“帕虫”的详细资料,参见如下:
http://forum.ikaka.com/topic.asp?board=28&artid=8322881
http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html
http://forum.ikaka.com/topic.asp?board=28&artid=8315857
Author: Sanluxia
Aug. 10, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.
参考资料:转载http://zhidao.baidu.com/question/34280413.html
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
360比较可信,报错不多。应该没什么问题。
dnsq.dll
反毒知道 / 在线杀毒 / 专杀工具
Virus.win32.xorer.eh,dnsq.dll,netcfg.dll清除
dnsq.dll
磁盘机变种dnsq.dll病毒模块分析
使用断电解决磁盘机最新变种pagefile.pif,dnsq.dll
磁碟机Worm.Win32.Diskgen.gen,dnsq.dll,NetApi00.sys查杀
磁碟机(netcfg.dll,ntfsus.exe,dnsq.dll)免疫工具
netcfg.dll,pagefile.pif,ntfsus.exe,dnsq.dll磁碟机变种查杀
Win32.Troj.Downloader.yl.102400,netcfg.dll,dnsq.dll
dnsq.dll
反毒知道 / 在线杀毒 / 专杀工具
Virus.win32.xorer.eh,dnsq.dll,netcfg.dll清除
dnsq.dll
磁盘机变种dnsq.dll病毒模块分析
使用断电解决磁盘机最新变种pagefile.pif,dnsq.dll
磁碟机Worm.Win32.Diskgen.gen,dnsq.dll,NetApi00.sys查杀
磁碟机(netcfg.dll,ntfsus.exe,dnsq.dll)免疫工具
netcfg.dll,pagefile.pif,ntfsus.exe,dnsq.dll磁碟机变种查杀
Win32.Troj.Downloader.yl.102400,netcfg.dll,dnsq.dll
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
可以先试一下360安全卫士,在安全模式下可以安装,可以查杀木马。最好装杀毒软件,可以清除病毒。如果不是系统文件的话可以手动删除。
不能杀就重装系统吧~!
补充一下:
C:\WINDOWS\SYSTEM32\DNSQ.DLL
C:\WINDOWS\SYSTEM32\DRIVERS\MSACLUE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PCIDISK.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PCIHDD.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PHY.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PUID.SYS
C:\WINDOWS\SYSTEM32\FAT32.SYS
像这一类的都是磁碟机免疫文件夹_请勿删除 你是360用户吧 这是360下的免疫程序
360safe.的子文件夹 为了免疫对文件夹进行了锁定 所以无法删除 恶意软件清理助手不能区分文件与文件夹 把这个文件夹当成了文件 就误报了出来了
免疫文件是为了防止这种病毒再次进来.
可能会建一个无法改动的病毒名文件.当真起码病毒文件进来时发现文件已存在,而且无法改动.那真正的病毒就进不来了.所以起到免疫作用.也可能是通过别的方法防止了这一种病毒的进入
不能杀就重装系统吧~!
补充一下:
C:\WINDOWS\SYSTEM32\DNSQ.DLL
C:\WINDOWS\SYSTEM32\DRIVERS\MSACLUE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PCIDISK.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PCIHDD.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PHY.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PUID.SYS
C:\WINDOWS\SYSTEM32\FAT32.SYS
像这一类的都是磁碟机免疫文件夹_请勿删除 你是360用户吧 这是360下的免疫程序
360safe.的子文件夹 为了免疫对文件夹进行了锁定 所以无法删除 恶意软件清理助手不能区分文件与文件夹 把这个文件夹当成了文件 就误报了出来了
免疫文件是为了防止这种病毒再次进来.
可能会建一个无法改动的病毒名文件.当真起码病毒文件进来时发现文件已存在,而且无法改动.那真正的病毒就进不来了.所以起到免疫作用.也可能是通过别的方法防止了这一种病毒的进入
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
应该不会,他们说360是按照木马名字查杀而不是向杀毒软件靠特征码查杀所以不会报错
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
放心杀.
免疫文件是为了防止这种病毒再次进来.
可能会建一个无法改动的病毒名文件.当真起码病毒文件进来时发现文件已存在,而且无法改动.那真正的病毒就进不来了.所以起到免疫作用.也可能是通过别的方法防止了这一种病毒的进入.
免疫文件是为了防止这种病毒再次进来.
可能会建一个无法改动的病毒名文件.当真起码病毒文件进来时发现文件已存在,而且无法改动.那真正的病毒就进不来了.所以起到免疫作用.也可能是通过别的方法防止了这一种病毒的进入.
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
