在windows/system32中有一个dnsq.dll文件夹，打开后有一个360safe，内容为空，0字节，怀疑为木马程序，却无论如何删不掉，请教高手？

这是一个具有ARP 欺骗的下载者病毒，在下载病毒到本地运行的同时还生成大量AUTO病毒文件。该病毒还具有具有映象劫持功能，可以对一些安全工具和调试分析软件进行拦截，并不断改写注册表破坏安全安全模式，阻止用户修复系统。 详细情况最后点明，现在直奔主题，如何删除：
1、首先关掉网线
2、运行msconfig，察看启动项，关掉所以启动项
3、打开查看文件夹选项---显示所有文件（包括系统的哦）
4、如果还不能显示的话，运行注册表，查找"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\ 在右边修改 CheckedValue 的值为1
5、结束进程alg.exe，SMSS.EXE，LSASS.EXE，这时会引发系统自动关机，在”运行里运行命令"shutdown -a"要快哦，只有一分钟时间。
6、切换到C:\WINDOWS\system32\Com目录下，删除SMSS.EXE，netcfg.dll，netcfg.000，切换到C:\WINDOWS\system32\drivers\删除alg.exe，如果你第三步失败的话就运行cmd，也切换到相应目录写命令attrib -h -s *.* ，”*.* “是病毒的名字
7、然后到各个盘的根目录下删除pagefile.pif,以及autorun.inf ；并切换到C:\WINDOWS\system32\目录下删除dnsq.dll
8、运行注册表，查找并删除dnsq.dll，pagefile.pif的相关键值
9、恢复杀毒软件的启动项，重启（PS：如果exe文件感染的话，用专用工具修复下，真不行就丢了吧，呵呵 ）

病毒行为:

1.病毒运行后，会释放以下文件：
%system32%\Com\SMSS.EXE
%system32%\dnsq.dll
%system32%\drivers\alg.exe
%system32%\com\netcfg.dll
%system32%\com\netcfg.000
在每个盘目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件.
2.该病毒会破坏安全模式和禁用了文件选项的显示隐藏文件的选项等恶意操作,使用户无法启动安全模式,
并且使隐藏文件无法被显示.由于该病毒是不断修改注册表,也使一些安全工具无法成功修复安全模式.

病毒自己不在注册表创建 RUN,却把RUN 项删的干干净净,使得一些的常用软件,安全工具等,不能开机自启动.

3.该病毒具有映象劫持功能,可以对一些安全工具和调试分析软件进行拦截.
会对以下一些安全工具和调试分析软件拦截:

OLLYDBG
IDA
MetaPad
SOFTICE
一些安全软件如 ICESWORD ,360.... 也会被关闭.

4.病毒会将自己拷贝到 %system32%\Com下,更名为 LSASS.EXE,并释放SMSS.EXE 和 ALG.EXE ,最后运行LSASS.EXE, SMSS.EXE 和 ALG.EXE. 由于病毒的进程名和系统的 LSASS,SMSS 进程名相同,使任务管理器无法结束它.

5.该病毒会远程注入 dnsq.dll 到其它进程中,在其它进程中启动一个线程来不断监视病毒的进程是否被关闭.若检测到被关闭,就自动再启动病毒进程. 如果被一些杀毒软件和安全工具阻止创建了,被注入的其它进程就会调用 SYSTEM32 目录下的 SHUTDOWN.EXE 来关闭计算机( ^_^ 病毒作者真是淘气啊! ).

6.病毒会模拟资源管理器的右键菜单,使用户不易察觉病毒被自动运行,当用户利用资源管理器打开分区时,无论是直接运行或右键打开都会运行病毒.

7.该病毒会启动一个 IE 进程来连接站点 hxxp://w.c**o.com/r.htm 和 hxxp://*s.k**02.com/**.asp,并下载恶意脚本执行.

8.该病毒会生成多个组件,并注册为 IE 插件. 它的行为特征属恶意软件,会利用 REGSVR32.EXE 为 netcfg.dll 注册多个的CLASSSID, 杀毒软件通常不能清除干净,会有大量残留. 建议使用金山清理专家清除.

9. %system32%\drivers\alg.exe 是个ARP 病毒,利用 WinPcap 来收发网络包,对整个局域网内的所有 IP 进行 ARP 攻击.并在截获的是数据包内插入恶意代码, 该代码会从 hxxp://1**.*1.2*5.1*0/setup.exe 下载病毒的最新版本到本地运行.使被攻击的局域网内其它用户中毒
 

（已借鉴）

　一、常规解决办法
　　1．注消或重启电脑，然后再试着删除。
　　2．进入“安全模式删除”。
　　3．在纯DOS命令行下使用DEL、DELTREE和RD命令将其删除。
　　4．如果是[url=]文件夹[/url]中有比较多的子目录或文件而导致无法删除，可先删除该文件夹中的子目录和文件，再删除文件夹。
　　5．如果是在“添加或删除程序”选项卸载一个软件后，发现软件的安装目录仍旧存在，里边残留着几个文件，直接删除时，系统却提示文件正在使用无法删除。
　　此时可首先打开“命令提示符”窗口，按“Ctrl+Alt+Del”组合键打开任务管理器，在进程中将“explorer.exe”进程关闭掉（在这之前最好将所有程序关闭掉），切换到命令提示符窗口，使用DOS命令进入无法删除的文件夹，输入“Del 文件夹名”就可以将该文件夹删除了。删除完成后，在任务管理器中选择“文件→新任务”，输入“explorer.exe”重新建立系统的外壳。
　　二、高级解决方案
　　1．磁盘错误
　　运行磁盘扫描，并扫描文件所在分区，扫描前确定已选上修复文件和坏扇区，全面扫描所有选项，扫描后再删除文件。
　　2．预读机制
　　某些视频、图像文件播放中断或正在预览时会造成无法删除。在“运行”框中输入：REGSVR32 /U SHMEDIA.DLL，注销掉预读功能。或在注册表中删除[HKEY_ LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ 87D62D94-71B3-4b9a-9489-5FE6850DC73E }\InProcServer32]键值。然后即可删除文件。
　　3．防火墙
　　由于反病毒软件在查毒时也会导致执行删除时提示文件正在使用，这时可试着停止或关闭它再删。
　　4．Office、WPS系列软件
　　Office、WPS的非法关闭也会造

成文件无法删除或改名。重新运行该程序，然后正常关闭，再删除文件。
　　5．借助WinRAR
　　右击要删除的文件夹，选择“添加到压缩文件”。在弹出的对话框中选中“压缩后删除源文件，”随便写个压缩包名，点击“确定”按钮即可。
　　6．权限问题
　　如果是Windows 2000/XP/2003系统，请先确定是否有权限删除这个文件或文件夹。
　　7．可执行文件的删除
　　当执行文件的映像或程序所调用的DLL动态链接库还在内存中未释放，删除时也会提示文件正在使用，解决方法是在DOS下删除系统的页面文件（Win98中是Win386.SWP，Win2000/XP是pagefile.sys）。
　　8.用其他软件的方法,我向大家推荐:
　　a、用Unlocker(最好的顽固软件删除工具)，Unlocker 是一个免费的右键扩充工具，使用者在安装后，它便能整合于鼠标右键的操作当中，当使用者发现有某个档案或目录无法删除时，只要按下鼠标右键中的「Unlocker」，那么程序马上就会显示出是哪一些程序占用了该目录或档案，接着只要按下弹出的窗口中的「Unlock」就能够为你的档案解套啰。
　　Unlocker 不同于其它解锁软件的部分在于它并非强制关闭那些占用档案的程序，而是以解除档案与程序关连性的方式来解锁，因此不会像其它解锁程序一样因为强制关闭程序而造成使用者可能的数据遗失。
　　b、Killbox
　　只有416K，下载后，直接找到路径后就可以删除文件
　　9. 以上办法都不行，最后终极大法--格式化!