查看: 2052|回复: 3
收起左侧

[求助]看看是不是中了木马!

[复制链接]
jpzy
发表于 2006-11-16 17:00:22 | 显示全部楼层 |阅读模式
今天被一个兄弟叫去修电脑,说是中了个木马,杀不掉!去了一看,他用的是卡巴斯基5.0.397 personal pro版,总是报三个文件是特洛伊,其中一个是Njaiml49.dll,在system32下面,另外一个sys文件在Driver文件夹下面!我原以为是个小马,没当回事!
处理过程如下:
1、重启,清理启动菜单,系统服务,关闭不必要的服务和启动加载项!运行Hijackthis清理IE和启动项!安装AVG Anti-Spyware 7.50!
2、重启进入安全模式,用AVG扫描系统,用恶意软件清理助手扫描流氓软件!AVG没有发现!安全模式下无法删除三个文件!
3、重启,进入windows以后,问题依旧,于是运行icesword,在进程中找不到njaiml49.dll的线程!卡巴5.0不停报警!于是,卸载卡巴5.0,装上6.0.0.307版本,扫描system32文件夹,奇怪的是,无任何发现!
因为扫描的时候,卡巴的病毒库还没有升级完,所以并不能保证后续升级完病毒库以后不会发现问题!我感到奇怪的是,卡巴5报警,但是AVG和卡巴6.0都不报!
在进程中始终有一个Rundll32.exe进程,关闭这个进程,他装的雪狐桌面精灵就会提示出错!安装卡巴6以后,每隔一会卡巴的防火墙就会报称rundll32访问注册表等提示信息!
哪位遇到过类似情况,或者了解这个dll文件的,可以给我解释一下吗?
我目前的判断是,进程中的rundll32是雪狐桌面精灵调用的,至于报警有可能是卡巴5误报!但是,另一个兄弟认为,这三个文件一定是木马,而且认为rundll32已经被修改过了!
各位帮帮忙啊!!!!
Fvision
发表于 2006-11-16 17:13:02 | 显示全部楼层

一个病毒的杀毒方式,给你参考

清除Trojan-Downloader.Win32.QQHelper.mo的方法!


下载一个叫unlocker的软件,很小的,用搜索引擎一找就能找到的,然后安装在任意目录。
C:\WINDOWS\system32 下找到病毒文件(文件应该是一个DLL文件,由字母和数字组成的,卡巴应该是能查到这个病毒但是删不了,可以在卡巴里找到这个病毒文件名),右击选择unlocker进行解锁(安装完那个软件后会在右键菜单上生成一个unlocker的菜单项)。然后就可以把病毒文件删除了。再进入C:\WINDOWS\system32\drivers 里找到×.sys文件(×跟之前那个文件同名,只是扩展名不一样)用同样的方法先解锁后删除。然后在运行里输入REGEDIT打开注册表编辑器,分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项)
然后你再用卡巴查毒看看
jpzy
 楼主| 发表于 2006-11-16 17:42:08 | 显示全部楼层
我用了unlocker了,显示是不需要解锁!但是文件就是删不掉!

还有别的办法吗?
jpzy
 楼主| 发表于 2006-11-17 17:58:37 | 显示全部楼层
没人知道吗???
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 10:45 , Processed in 0.120355 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表