风云小站 » 『 求助专区 』 » 中盗q木马了!怎么删?
本页主题: 中盗q木马了!怎么删? 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

ruralyard
级别: 超级会员


精华: 0
发帖: 23
威望: 2454 点
风云币: 2881 元
专家分: 0 分
在线时间:10(小时)
注册时间:2006-12-19
最后登录:2007-12-03

 中盗q木马了!怎么删?

管理提醒:
本帖被 powerday 执行锁定操作(2007-06-15)
有一天,QQ好友发给我一个消息,具体内容我忘了,传送一个文件给我,下意识感觉不对,我就把内容选中,copy了一下发给她了,问她是怎么回事,结果从这个动作之后,我的机子就出现异常了,老会弹出一个 tom-sky 的安装窗口,有时关机还出现结束进程cdownexe的窗口。


用icesowrd 查看进程,发现一个isignup.dll.到网上查了一下,原来是盗Q木马。这3者之间不知道有什么关系?

http://www.cisrt.org/bbs/viewthread.php?tid=589

我根据该网站提供的方法清除病毒后,重新开机。结果360safe实时监控还是提示我有非法程序。下面是奇虎360safe 拦截的程序。

并且在C:\Program Files\Internet Explorer\Connection Wizard 里,依然发现那3个顽固的文件:isignup.dll,isignup.exe, isignup.sys.

奇虎360safe 拦截的程序报告:
//-------------------------------------------------------------------------
名称:{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
路径:C:\Program Files\InternetExplorer\Connection Wizard\isignup.sys
出品公司:
行为描述:新增系统可执行挂钩
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

/这个程序每2分钟就会跳出来一次,360safe 实时监控不停的提示/


名称:实用网址导航(酷站导航)
路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
出品公司:上海来网广告公司
行为描述:强制安装、弹出广告、无法彻底删除 ★请下载专杀工具进行查杀★


名称:Hardware
路径:C:\WINDOWS\system32\oaycx.dll
出品公司:Microsoft Corporation
行为描述:篡改系统服务


名称:PCTools
路径:C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
出品公司:新萌科技(上海)有限公司
行为描述:强制安装、无法彻底删除

//--------------------------------------------------------------------

我感觉虽然病毒被拦截了,但是没有彻底根除。也不知道,tom-sky, cdownexe,和isignup有什么关系。他们是同时出现的。

是不是也有可能:按照http://www.cisrt.org/bbs/viewthread.php?tid=589我只清除了isignup,没管另外两个,所以导致没清除干净。

高手帮忙啊。
[ 此贴被heroyb在2007-06-14 20:22重新编辑 ]
本帖最近评分记录:
  • 风云币:+2(powerday) 恭喜问题得到解决~
  • 顶端 Posted: 2007-06-14 11:47 | [楼 主]
    gaowen1360
    禁网,准备工作~~
    级别: 荣誉会员


    精华: 1
    发帖: 9552
    威望: 999 点
    风云币: 2050 元
    专家分: 7 分
    论坛群: ☆黄鱼党☆
    在线时间:1476(小时)
    注册时间:2007-04-01
    最后登录:2018-06-04

     

    打开QQ界面上面就有一个安全检查!!
    点一下,就会自己查杀了!!
    他日我若为青帝,报与桃花一树开
    顶端 Posted: 2007-06-14 11:52 | 1 楼
    ruralyard
    级别: 超级会员


    精华: 0
    发帖: 23
    威望: 2454 点
    风云币: 2881 元
    专家分: 0 分
    在线时间:10(小时)
    注册时间:2006-12-19
    最后登录:2007-12-03

     

    查是查到了,但是删不去。


    我想上载一些图片的,但是没成功。
    顶端 Posted: 2007-06-14 12:02 | 2 楼
    ruralyard
    级别: 超级会员


    精华: 0
    发帖: 23
    威望: 2454 点
    风云币: 2881 元
    专家分: 0 分
    在线时间:10(小时)
    注册时间:2006-12-19
    最后登录:2007-12-03

     

    描述:可恶的tom-sky 安装程序
    图片:
    可恶的tom-sky 安装程序
    顶端 Posted: 2007-06-14 12:11 | 3 楼
    武大的狼
    级别: 初级会员


    精华: 0
    发帖: 308
    威望: 267 点
    风云币: 4940 元
    专家分: 0 分
    在线时间:84(小时)
    注册时间:2007-01-12
    最后登录:2008-03-16

     

    用下安全卫士,超级兔子,查杀流氓软件,插件,修复下IE。然后再下个QQKAV查杀下。
    坚持,激情,奋斗…勇往直前!
    顶端 Posted: 2007-06-14 12:27 | 4 楼
    ruralyard
    级别: 超级会员


    精华: 0
    发帖: 23
    威望: 2454 点
    风云币: 2881 元
    专家分: 0 分
    在线时间:10(小时)
    注册时间:2006-12-19
    最后登录:2007-12-03

     

    安全卫士,查杀流氓软件残废了。
    系统和ie都修复过了。没用。
    顶端 Posted: 2007-06-14 12:31 | 5 楼
    dzh998
    我不玩牌,玩牌没意义。
    优秀斑竹奖
    级别: 超级版主


    精华: 0
    发帖: 27888
    威望: 8163 点
    风云币: 330281 元
    专家分: 13 分
    论坛群: ☆黄鱼党☆
    在线时间:2945(小时)
    注册时间:2006-09-30
    最后登录:2018-06-04

     

    用360清除恶评软件~~
    顶端 Posted: 2007-06-14 12:34 | 6 楼
    heroyb
    风云墙第二帅哥(第一是我小弟)
    助人为乐奖 技术专家奖 特殊贡献奖
    级别: 风云元老


    精华: 2
    发帖: 2509
    威望: 2066 点
    风云币: 302 元
    专家分: 96 分
    在线时间:892(小时)
    注册时间:2006-08-22
    最后登录:2018-05-17

     

    灵活应用icesword或gmer+sreng应该可以搞定的。
    先给你一些资料你试一下,不行的话明晚过去帮你弄。    

    手工清除方法:
    1.删除病毒添加的注册表项:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"=" "

    [HKEY_CLASSES_ROOT\CLSID\]
    {B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}


    2.重新启动系统

    3.删除病毒文件:
    C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
    C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
    C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys

    4.重新安装一下QQ,并反病毒软件查看是否还有其它木马病毒!
    顶端 Posted: 2007-06-14 12:38 | 7 楼
    heroyb
    风云墙第二帅哥(第一是我小弟)
    助人为乐奖 技术专家奖 特殊贡献奖
    级别: 风云元老


    精华: 2
    发帖: 2509
    威望: 2066 点
    风云币: 302 元
    专家分: 96 分
    在线时间:892(小时)
    注册时间:2006-08-22
    最后登录:2018-05-17

     

    按杀毒软件提供的路径,记下来 (这种类型的病毒,杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的)

    1.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。

    2.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。用同样的方法排查下system32文件夹,看看有没有同名的.dll文件存在,有的话,一并删除。

    3.搜索注册表里这个文件的键值,删除搜索到的--如果有的话。
    如果在system32文件夹下搜索到有.dll文件并且也删除了,在注册表中也搜索一下,看看有没有相关的键值,有的话也删除它。

    4.重启电脑,这个东西应该清除干净了。

    特别要注意第2步,搜索下System32这个文件夹下是否存在同名或同时间创建的dll文件。
    顶端 Posted: 2007-06-14 12:40 | 8 楼
    heroyb
    风云墙第二帅哥(第一是我小弟)
    助人为乐奖 技术专家奖 特殊贡献奖
    级别: 风云元老


    精华: 2
    发帖: 2509
    威望: 2066 点
    风云币: 302 元
    专家分: 96 分
    在线时间:892(小时)
    注册时间:2006-08-22
    最后登录:2018-05-17

     

    可能和IE关联了。用sreng修复一下文件关联。
    我这里也和你症状相同,什么杀毒查木马都干不掉,后来在
    C:\Program Files\Internet Explorer\Connection Wizard\
    找到了isignup.sys,isignup.dll,isignup.bak
    在C:\Documents and Settings\Administrator\Local Settings\Temp\
    里找到_xiaran.bat和helperg.exe,
    删isignup.sys文件也很费劲,要先做个bat文件,里面加入
    attrib "C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys" -s -h -a -r
    del "C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"
    然后进入命令行的安全模式运行它才行,我估计是和explorer.exe关联了
    你的情况和我的类似,但是具体文件名可能不同,
    文件位置C:\Documents and Settings\Administrator\Local Settings\Temp\应该一样,
    C:\Program Files\Internet Explorer\Connection Wizard\
    可能在C:\Program Files\Internet Explorer\的其他地方,
    仔细找找最近更改的.sys文件应该能发现。删掉这些就解决了。
    顶端 Posted: 2007-06-14 12:42 | 9 楼
    ruralyard
    级别: 超级会员


    精华: 0
    发帖: 23
    威望: 2454 点
    风云币: 2881 元
    专家分: 0 分
    在线时间:10(小时)
    注册时间:2006-12-19
    最后登录:2007-12-03

     

    Quote:
    引用第4楼武大的狼于2007-06-14 12:27发表的  :
    用下安全卫士,超级兔子,查杀流氓软件,插件,修复下IE。然后再下个QQKAV查杀下。


    Quote:
    引用第6楼dzh998于2007-06-14 12:34发表的  :
    用360清除恶评软件~~



    Quote:
    引用第2楼ruralyard于2007-06-14 12:02发表的  :
    查是查到了,但是删不去。





    360 清了,再重起,病毒依然存在。没用。



    heroyb 提供的方法我去试试看。
    顶端 Posted: 2007-06-14 13:07 | 10 楼
    ruralyard
    级别: 超级会员


    精华: 0
    发帖: 23
    威望: 2454 点
    风云币: 2881 元
    专家分: 0 分
    在线时间:10(小时)
    注册时间:2006-12-19
    最后登录:2007-12-03

     

    注册表里还有以下,均被我删除:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19-11d0-97EE-00C04FD91972}

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}


    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}


    这个删不掉的。有没有问题??
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
    顶端 Posted: 2007-06-14 13:50 | 11 楼
    ruralyard
    级别: 超级会员


    精华: 0
    发帖: 23
    威望: 2454 点
    风云币: 2881 元
    专家分: 0 分
    在线时间:10(小时)
    注册时间:2006-12-19
    最后登录:2007-12-03

     

       

    总算搞定了。

    谢谢heroyb.

    总结一下:就是结束相关进程,把drivers,service,用户下的Local Settings\Temp, 系统的temp, tempory files 都删了。

    注册表...\ShellExecuteHooks\ 下面的键全删了。

    整个世界顿时清静了。。。嘿嘿嘿。。。

           
    顶端 Posted: 2007-06-14 15:07 | 12 楼
    帖子浏览记录 版块浏览记录
    风云小站 » 『 求助专区 』
    感谢,曾经的版主
    Total 0.015913(s) query 6, Time now is:11-05 20:38, Gzip enabled 渝ICP备20004412号-1

    Powered by PHPWind v6.3.2 Certificate Code © 2003-07 PHPWind.com Corporation
    Skin by Chen Bo