9,513
社区成员
发帖
与我相关
我的任务
分享Downloader.Trojan病毒
病毒文件为tquojm51.dll,估计是随机文件名,norton杀了该病毒后,每次启动输入用户名后都报找不到指定模块tquojm51.dll,按我的经验,显然还有未清空的启动项在作怪,但是找了我所知的所有和启动有关的地方,均无此项目:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run or Runservices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run or Runservices
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
在注册表中搜索tquojm51.dll——找不到。
最后干脆运行msconfig,把win.ini,system.ini,系统服务全部停了,居然启动还是要报错!!
这次有点超出我的想象了,什么东西啊!从哪儿启动的呢?!求助大家了!
btw:我的机器设置的英文加数字的9位口令,未开启ftp、http之类的服务,装的norton,病毒定义是最新的,windows xp pro正版,保持自动更新,未运行任何未知来源的程序。以往我对自己的防毒能力很有信心,我的机器几年都不中毒,这次太意外了,这个病毒怎么进到我机器的呢?
HKCU\Software\Microsoft\Windows\CurrentVersion\Run or Runservices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run or Runservices
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
在注册表中搜索tquojm51.dll——找不到。
最后干脆运行msconfig,把win.ini,system.ini,系统服务全部停了,居然启动还是要报错!!
这次有点超出我的想象了,什么东西啊!从哪儿启动的呢?!求助大家了!
btw:我的机器设置的英文加数字的9位口令,未开启ftp、http之类的服务,装的norton,病毒定义是最新的,windows xp pro正版,保持自动更新,未运行任何未知来源的程序。以往我对自己的防毒能力很有信心,我的机器几年都不中毒,这次太意外了,这个病毒怎么进到我机器的呢?
...全文
请发表友善的回复…
发表回复
mikese 2007-01-18
- 打赏
- 举报
问题搞定了,我用unlocker将sys文件删除了,然后重启。
这个木马又名my123,其实是一个很常见的病毒,但却堪称木马之王。
1、驱动保护(System Bus Extend驱动,安全模式下也加载)
2、随机文件名,DLL和SYS
3、多线程保护,网络自动升级
4、极强的自动恢复(即使在所有文件被删除的情况下,仍然可以通过内存恢复!)
5、驱动文件独占方式,其它任何程序也无法读写及删除
6、有预谋定时爆发(2006/11/11)
这个论坛有详细分析:http://www.qqkav.com/forum/viewthread.php?tid=4438
从这文章分析,我中的还只是第二代,如果是第三代,我建议用户将硬盘挂到别的机器上删。
这个木马又名my123,其实是一个很常见的病毒,但却堪称木马之王。
1、驱动保护(System Bus Extend驱动,安全模式下也加载)
2、随机文件名,DLL和SYS
3、多线程保护,网络自动升级
4、极强的自动恢复(即使在所有文件被删除的情况下,仍然可以通过内存恢复!)
5、驱动文件独占方式,其它任何程序也无法读写及删除
6、有预谋定时爆发(2006/11/11)
这个论坛有详细分析:http://www.qqkav.com/forum/viewthread.php?tid=4438
从这文章分析,我中的还只是第二代,如果是第三代,我建议用户将硬盘挂到别的机器上删。
wanghui0380 2007-01-18
- 打赏
- 举报
另:查看一下system.ini文件,看看[drive]节有无异常
wanghui0380 2007-01-18
- 打赏
- 举报
应该还是被插入了
用InjectedDLL查找插入项
用InjectedDLL查找插入项
mikese 2007-01-17
- 打赏
- 举报
我发现在隐藏的驱动里面找到了tquojm51,用syscheck.exe在服务里面也找到tquojm51,该驱动卸载后,重启进入安全模式,还是删除不掉sys文件。发现tquojm51服务还在启动状态,而且无法关闭,将进程中所有的svchost.exe关闭,等一会儿又起来了,搜索到注册表中的所有
tquojm51,有些无法删除,有些删除后又会回来。
看来windows的安全模式不是万能的!
tquojm51,有些无法删除,有些删除后又会回来。
看来windows的安全模式不是万能的!
mikese 2007-01-17
- 打赏
- 举报
我按的提示在C:\WINDOWS\system32\drivers\目录找到tquojm51.sys了
mikese 2007-01-17
- 打赏
- 举报
太好了,终于遇到知音,我还没有解决,我也没有任何中毒迹象,看起来文件已经被删除掉。就是有个启动项未删除。
capawin 2007-01-16
- 打赏
- 举报
到目前为止,我的机器没有异常的反应。根没中毒一样!
capawin 2007-01-16
- 打赏
- 举报
我和你遇到的是同一个问题,在网上我也查了很多资料,处理方法是看了不少,可是还是没有效果。最后我把诺顿卸载了,用金山2007,清理了一些隐藏程序(金山自己检测清理)后,在启动的时候不会出现报找不到的哪个*.dll(我的是xiijzw33.dll)模块的消息框了。(惊喜……,但是在我查杀毒日志的时候看到却是:2007-01-16 15:06:25 发现病毒在文件C:\WINDOWS\system32\drivers\xiijzw33.sys中 Win32.Troj.Zapchast.sy.7552(这是金山查到的病毒名) 处理失败(文件不能被操作)郁闷……)呵呵,于是问金山的客服我的win2003是否还在中毒中……目前我还在等待回复中。
不知你是否有了彻底根除的办法。
不知你是否有了彻底根除的办法。
mikese 2007-01-15
- 打赏
- 举报
不会哦,这么多高手无人能解答……
syhaxx 2007-01-12
- 打赏
- 举报
如果是RUNDLL做怪,那用正常的RUNDLL文件替换就可以了。
mikese 2007-01-12
- 打赏
- 举报
不是rundll32本身的问题,是病毒试图利用rundll32来运行自己,但是不知道该指令在哪儿。
mikese 2007-01-11
- 打赏
- 举报
Purpleendurer说得对,是rundll32加载的,从报错框的标题可以看出来。
现在最怀疑就是dll插入了,不过我不知道怎么查。
由于tquojm51.dll被norton删除了,所以病毒未能成功启动,系统进程里面没有rundll32。
这些杀木马的软件,我还没有试,不知道它们本身是不是安全。
我有克隆系统,要重装倒是容易,但是不服气,身为一个it人,面对病毒怎么能这样妥协呢?重装后又出现病毒怎么办呢?
现在最怀疑就是dll插入了,不过我不知道怎么查。
由于tquojm51.dll被norton删除了,所以病毒未能成功启动,系统进程里面没有rundll32。
这些杀木马的软件,我还没有试,不知道它们本身是不是安全。
我有克隆系统,要重装倒是容易,但是不服气,身为一个it人,面对病毒怎么能这样妥协呢?重装后又出现病毒怎么办呢?
mikese 2007-01-11
- 打赏
- 举报
谢谢lbeast(lbeast),syscheck.exe倒是很好用,不过没有找到异常的东西。
显示隐藏的设备倒是看到不少东西,但是不知道哪个可疑啊!
显示隐藏的设备倒是看到不少东西,但是不知道哪个可疑啊!
紫郢剑侠 2007-01-10
- 打赏
- 举报
每次启动输入用户名后都报找不到指定模块tquojm51.dll
可能是通过rundll32来加载的
可能是通过rundll32来加载的
lich2005 2007-01-09
- 打赏
- 举报
建议你先清除一下IE的缓存文件,并关闭系统还原功能。再看安全模式查杀一下看看,建议使用对木马比较有效的木马杀客或者ewido 试试。
mikese 2007-01-09
- 打赏
- 举报
说明一下,Downloader.Trojan是norton报告的。
安全模式下不会报错,但安全模式下全盘扫描未发现其它杀毒。
安全模式下不会报错,但安全模式下全盘扫描未发现其它杀毒。
lbeast 2007-01-09
- 打赏
- 举报
1 下一个syscheck.exe 可以查看一些不常见的启动项。
2 在开始->运行输入services.msc 查看启动服务
3 设备管理器->显示隐藏设备 看有没有加载的驱动
2 在开始->运行输入services.msc 查看启动服务
3 设备管理器->显示隐藏设备 看有没有加载的驱动
wj_yhl 2007-01-09
- 打赏
- 举报
也有可能是DLL插入,我觉得应该禁止系统还原,清空ie临时文件夹及其他临时文件夹。清空回收站
然后选择一款比较好的杀木马软件ewido杀一下
然后选择一款比较好的杀木马软件ewido杀一下
bbtjiao 2007-01-09
- 打赏
- 举报
1.Ctrl+Alt+Del查看进程里,特别查看是否有Rundll32进程.如果有,那么恭喜你,80%你有可能中病毒(当然还有别的特别的进程,就不好说是什么名的了)
2,Strat-->Run-->Msconfig查看启动项...除了你能确认的,其它的都不要.特别是一些怪怪的.
3,把Documents&Settings-->your account-->Local setting下的Temp和Internet Temp file里都清空
4.去www.greendown.cn下载360safe和ad-ware扫描清除病毒,最好在安全模式下清除..(这俩个软件配合使用不错哦)
5.不行就重装电脑吧,除非是研究,否则反而会浪费更多时间
2,Strat-->Run-->Msconfig查看启动项...除了你能确认的,其它的都不要.特别是一些怪怪的.
3,把Documents&Settings-->your account-->Local setting下的Temp和Internet Temp file里都清空
4.去www.greendown.cn下载360safe和ad-ware扫描清除病毒,最好在安全模式下清除..(这俩个软件配合使用不错哦)
5.不行就重装电脑吧,除非是研究,否则反而会浪费更多时间
