cacls.exe，名称貌似计算器的病毒

zbmbb

电脑中毒了，无法执行任何安全工具，执行后安全工具.exe会被自行删掉
360网站也打不开

[ 本帖最后由 zbmbb 于 2008-4-27 11:50 编辑 ]

The file 'cacls.exe' has been determined to be 'KNOWN CLEAN'. In particular this means that we could not find any malicious content. Please note that the file is part of 'Windows XP (SP0)'.

zbmbb

看来不是病毒
但是电脑确实中毒了，任务管理器里看不到异常进程，所有查看进程的工具都打不开，并且主程序会被自动删除

怎么样才能找到病毒文件呢？

[ 本帖最后由 zbmbb 于 2008-4-27 11:53 编辑 ]

醉一生爱妍

clean not viurs

挪威的冬天

改文件名 把 exe 改后缀为 com

安全模式

byxxdrls

文件说明符 : C:\Documents and Settings\byxx\桌面\cacls.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 5.1.2600.0 (XPClient.010817-1148)
说明 : Control ACLs Program
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.0
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : cacls
源文件名 : CACLS.EXE
创建时间 : 2008-4-27 12:59:5
修改时间 : 2004-8-17 12:0:0
访问时间 : 2008-4-27 0:0:0
大小 : 21504 字节 21.0 KB
MD5 : 3dc5d6a1942acf56e38f648e249d45bf
SHA1: 21A1BA8B9E9C05DB6CEC0C7E5CBCD3B5516D466F
CRC32: ddfda8d1

文件说明符 : C:\WINDOWS\system32\cacls.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 5.1.2600.0 (XPClient.010817-1148)
说明 : Control ACLs Program
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.0
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : cacls
源文件名 : CACLS.EXE
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2008-4-27 0:0:0
大小 : 21504 字节 21.0 KB
MD5 : 3dc5d6a1942acf56e38f648e249d45bf
SHA1: 21A1BA8B9E9C05DB6CEC0C7E5CBCD3B5516D466F
CRC32: ddfda8d1

这是正常的系统文件，被病毒调用以修改文件的权限的。

估计楼主是中了３６０所说的那个javqhc木马了。很厉害的。
给你推荐一个工具。
http://www.arswp.com/download/tools/solo.zip
另外还需特征库，下载安装windows清理助手后可得到。参考http://bbs.366tian.net/thread-860757-1-1.html

[ 本帖最后由 byxxdrls 于 2008-4-27 13:12 编辑 ]

Palkia

no malicious

zbmbb

试过了，改名为.com，运行后一样被删除
安全模式也不行

qianwenxiang

calcs.exe

修改文件(夹)ACL表的工具，无毒。

CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
               [/P user:perm [...]] [/D user [...]]
   filename      显示 ACL。
   /T            更改当前目录及其所有子目录中
                 指定文件的 ACL。
   /E            编辑 ACL 而不替换。
   /C            在出现拒绝访问错误时继续。
   /G user:perm  赋予指定用户访问权限。
                 Perm 可以是: R  读取
                              W  写入
                              C  更改(写入)
                              F  完全控制
   /R user       撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
   /P user:perm  替换指定用户的访问权限。
                 Perm 可以是: N  无
                              R  读取
                              W  写入
                              C  更改(写入)
                              F  完全控制
   /D user       拒绝指定用户的访问。
在命令中可以使用通配符指定多个文件。
也可以在命令中指定多个用户。

缩写:
   CI - 容器继承。
        ACE 会由目录继承。
   OI - 对象继承。
        ACE 会由文件继承。
   IO - 只继承。
        ACE 不适用于当前文件/目录。

qianwenxiang

建议LZ扫描SRENG报告发送至《病毒救援区》，本帖稍候关闭，见谅；