瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 这个病毒怎么杀呀!!!
chief163 - 2008-7-31 19:16:00
我的电脑中毒后 所有安全软件打不开,我还原系统后,开始开可以,但玩了半天后 安全软件又不能使用了,请帮我看看到底怎么解决!!!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log
天仁 - 2008-7-31 19:35:00
d:\program files\tencent\qq\svhuvs.dll
比较可疑,建议送检
http://www.virustotal.com/zh-cn/
chief163 - 2008-7-31 19:40:00
文件 svhuvs.dll 接收于 2008.07.31 13:39:50 (CET)
当前状态: 正在读取 ... 队列中 等待中 扫描中 完成 未发现 停止


结果: 7/35 (20%)
正在读取服务器信息中...
您的文件所排队列位置: ___.
预计开始时间为 ___ 和 ___ 之间.
扫描完成前请勿关闭窗口.
目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
如果您的等候时间超过 5 分钟, 请重新发送文件.
您的文件目前正在被 VirusTotal 扫描中,
结果将会稍后完成时生成.
格式化文本 打印结果 
您的文件已过期或不存在.
目前服务已停止, 您的文件将会稍后的未知时间内进行扫描 (位置: ).

您可以继续等待回应 (自动读取) 或者在下面的表单内输入您的电子邮件地址, 并按下 "获取", 当扫描完成时, 系统会自动给您发送电子邮件通知.
Email: 
 

反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.7.29.1 2008.07.31 Win-Trojan/OnlineGameHack.242688
AntiVir 7.8.1.12 2008.07.31 -
Authentium 5.1.0.4 2008.07.31 -
Avast 4.8.1195.0 2008.07.30 -
AVG 8.0.0.156 2008.07.31 -
BitDefender 7.2 2008.07.31 BehavesLike:Trojan.ShellObject
CAT-QuickHeal 9.50 2008.07.30 -
ClamAV 0.93.1 2008.07.31 -
DrWeb 4.44.0.09170 2008.07.31 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.5998 2008.07.31 -
Ewido 4.0 2008.07.31 -
F-Prot 4.4.4.56 2008.07.30 -
F-Secure 7.60.13501.0 2008.07.31 -
Fortinet 3.14.0.0 2008.07.31 -
GData 2.0.7306.1023 2008.07.31 -
Ikarus T3.1.1.34.0 2008.07.31 BehavesLike.Trojan.ShellObject
Kaspersky 7.0.0.125 2008.07.31 -
McAfee 5350 2008.07.30 -
Microsoft 1.3704 2008.07.28 PWS:Win32/Jauxeer.A
NOD32v2 3313 2008.07.31 a variant of Win32/Agent.NQM
Norman 5.80.02 2008.07.30 -
Panda 9.0.0.4 2008.07.31 Suspicious file
PCTools 4.4.2.0 2008.07.30 -
Prevx1 V2 2008.07.31 Cloaked Malware
Rising 20.55.32.00 2008.07.31 -
Sophos 4.31.0 2008.07.31 -
Sunbelt 3.1.1537.1 2008.07.29 -
Symantec 10 2008.07.31 -
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.31 -
VBA32 3.12.8.1 2008.07.29 -
ViRobot 2008.7.31.1319 2008.07.31 -
VirusBuster 4.5.11.0 2008.07.30 -
Webwasher-Gateway 6.6.2 2008.07.31 -
附加信息
File size: 243200 bytes
MD5...: 268bc4723edae1079526aa102fd2dd92
SHA1..: c63642e51ac4b451822698c08698fd3884e81eb2
SHA256: f1760c30fad2d3d8fce2d39d212f5b4abc13787c290a514cc9239b7a1c7b10f1
SHA512: 2ea98ae82dc5e068533383dbfcf3abf8128f1bcdc9dc8cba2d43eb455d4cb23f
f92131fc1ca2053a5b0db4043891b5ecd63fedcf118b67c3efe9801788565ca7
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4010d4
timedatestamp.....: 0x4884987a (Mon Jul 21 14:08:58 2008)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14000 0x13e00 6.70 d999ddf616fda787ab6b1666923ec565
.data 0x15000 0x29000 0x24e00 0.81 fc19baaca4ba39833af186af05872d0f
.tls 0x3e000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.idata 0x3f000 0x1000 0xe00 4.71 5229f97f11557e6b9673627d719f238c
.edata 0x40000 0x1000 0x200 0.84 695b935137be3e2c4a38e06cda1752a9
.rsrc 0x41000 0x1000 0x200 0.94 c245cdf4fe0c5516e54d48ca5404429e
.reloc 0x42000 0x1000 0x1000 6.52 7a3e7e49a98571b592698c6ba5076779

( 6 imports )
> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA
> KERNEL32.DLL: CloseHandle, CopyFileA, CreateFileA, CreateThread, CreateToolhelp32Snapshot, DeleteCriticalSection, DeleteFileA, EnterCriticalSection, ExitProcess, FindFirstFileA, FindNextFileA, FreeEnvironmentStringsA, GetACP, GetCPInfo, GetCurrentProcess, GetCurrentThreadId, GetDriveTypeA, GetEnvironmentStrings, GetFileAttributesA, GetFileSize, GetFileTime, GetFileType, GetLastError, GetLocalTime, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetOEMCP, GetProcAddress, GetProcessHeap, GetShortPathNameA, GetStartupInfoA, GetStdHandle, GetStringTypeA, GetStringTypeW, GetSystemDefaultLangID, GetSystemDirectoryA, GetSystemTime, GetTempFileNameA, GetTempPathA, GetTickCount, GetUserDefaultLCID, GetVersion, GetVersionExA, GetWindowsDirectoryA, GlobalMemoryStatus, HeapAlloc, HeapFree, InitializeCriticalSection, IsValidLocale, LCMapStringA, LCMapStringW, LeaveCriticalSection, LoadLibraryA, MoveFileExA, MultiByteToWideChar, OpenProcess, Process32First, Process32Next, RaiseException, ReadFile, RtlUnwind, SetConsoleCtrlHandler, SetFileAttributesA, SetFilePointer, SetFileTime, SetHandleCount, SetLastError, SetSystemTime, SetThreadLocale, Sleep, TerminateProcess, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, UnhandledExceptionFilter, VirtualAlloc, VirtualFree, VirtualProtectEx, VirtualQuery, WideCharToMultiByte, WinExec, WriteFile, lstrcatA, lstrcmpA, lstrcmpiA, lstrcpyA, lstrlenA, GetVolumeInformationA
> VERSION.DLL: GetFileVersionInfoA, GetFileVersionInfoSizeA
> WSOCK32.DLL: -, -, -, -, -, -, -, -, -
> USER32.DLL: CallNextHookEx, CharLowerA, DispatchMessageA, EnumThreadWindows, GetMessageA, MessageBoxA, SetWindowsHookExA, TranslateMessage, wsprintfA
> WS2_32.DLL: WSASocketA

( 4 exports )
, , ___CPPdebugHook, s

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=54D43FBF00FC90BCB62F03CE2061B5002C39E334
天仁 - 2008-7-31 19:45:00
看来还是比较可疑的,建议先备份,然后删除吧
chief163 - 2008-7-31 19:46:00
我的电脑是突然安全软件打不开,但瑞星的防火墙和杀毒软件并没有提示电脑中毒,这个病毒我都不知道他的路径。
chief163 - 2008-7-31 20:03:00
我怎么找不到svhuvs.dll
是隐藏起来了吗
chief163 - 2008-7-31 22:46:00
麻烦再帮我 看看呀, 弄的我连这个论坛都上不了了,其他网站都可以上。这个病毒到底在哪。我又还原了下系统才能进这个论坛。

附件: SREngLOG.log
chief163 - 2008-8-1 0:12:00
我又还原系统后 一切很好, 就是在启动QQ后又再次不能使用安全软件。这个病毒怎么杀掉呀???????
chief163 - 2008-8-1 0:16:00
最新扫描

附件: SREngLOG.log
fairsentence - 2008-8-1 0:31:00
API HOOK
入口点错误:RegEnumValueA (危险等级: 高,  被下面模块所HOOK: D:\Program Files\Tencent\QQ\svhuvs.dll)
入口点错误:RegEnumValueW (危险等级: 高,  被下面模块所HOOK: D:\Program Files\Tencent\QQ\svhuvs.dll)
入口点错误:RegOpenKeyExA (危险等级: 高,  被下面模块所HOOK: D:\Program Files\Tencent\QQ\svhuvs.dll)
入口点错误:CreateFileA (危险等级: 高,  被下面模块所HOOK: D:\Program Files\Tencent\QQ\svhuvs.dll)
入口点错误:CreateFileW (危险等级: 高,  被下面模块所HOOK: D:\Program Files\Tencent\QQ\svhuvs.dll)
别的都没什么问题。这个我不知道
fairsentence - 2008-8-1 0:32:00
建议修复杀软或卸载了重装
chief163 - 2008-8-1 10:40:00
瑞星系统加固发现程序注册表访问违规
应用程序信息
文件名:C:\WINDOWS\EXPLORER.EXE
版本:6.00.2900.3156
厂商:Microsoft Corporation
PID: 1988      TID: 1648
动作目标:HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\SAFEBOOT\MINIMAL\
动作:注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\SAFEBOOT\MINIMAL\
删除键:
规则信息
名称:安全模式信息
描述:
      记录Windows操作系统“安全模式”的相关信息,恶意程序会删除该项,使用户无法登录安全模式。
对应注册表项:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

2008-8-1 10:35:18















电脑是还原后使用正常,但一启动QQ就和开始一样了  卡卡和清理助手都打不开,瑞星杀毒杀不了。病毒是不是藏在了QQ启动程序里面,只要QQ启动也同时启动?我的QQ是装系统时里面自带的。有什么办法单独解除病毒?
chief163 - 2008-8-1 10:52:00
瑞星系统加固发现程序文件访问违规
应用程序信息
文件名:C:\WINDOWS\EXPLORER.EXE
版本:6.00.2900.3156
厂商:Microsoft Corporation
PID: 1988      TID: 1652
动作目标:C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
动作:修改C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
规则信息
名称:hosts文件
描述:
      Hosts文件中记录了对应主机名称的IP地址。恶意程序可以通过修改 Hosts 文件,使一些网站无法正常访问,甚至可以直接引导用户访问钓鱼网站,骗取用户账户和密码。
文件路径:
          %Windir%\system32\drivers\etc\hosts

2008-8-1 10:50:44





来个人帮帮我呀 等下这个网站也打不开了
aaccbbdd - 2008-8-1 10:54:00
拒绝
最新的日志呢?
速速上传
chief163 - 2008-8-1 10:59:00
最新扫描

附件: SREngLOG.log
aaccbbdd - 2008-8-1 11:12:00
删除启动项
<qtfstqywi><C:\WINDOWS\system32\loanoltrd.dll>  []
这个文件删除并抑制再生

C:\WINDOWS\system32\loanoltrd.dll
chief163 - 2008-8-1 11:25:00
我用XDELBOX1.7 删除C:\WINDOWS\system32\loanoltrd.dll
电脑重起然后 GO TO  XDELBOX  后花屏死机 杀不了。难到得重装系统了吗。我如果还原系统只要启动QQ病毒又会出现。
aaccbbdd - 2008-8-1 11:27:00
卸载QQ
删除QQ文件夹的所有东东
天月来了 - 2008-8-1 11:46:00


实习生们呀!!

我处理这毒的流程

你们能不能记一记!!!

建议楼主重启电脑,开启QQ软件

然后扫描新日志来。

唉...................
aaccbbdd - 2008-8-1 11:48:00
D:\Program Files\Tencent\QQ\svhuvs.dll
不就是病毒么:default2:

清空QQ文件夹还会有病毒?
天月来了 - 2008-8-1 11:51:00
小狮子你能不能不乱了?

你处理病毒总是喜欢一个一个的折腾

现在的毒哪能一个一个折腾,就能解决问题的?
chief163 - 2008-8-1 12:04:00
QQ启动时的扫描

附件: SREngLOG.log
aaccbbdd - 2008-8-1 12:16:00
删除启动项<qtfstqywi><C:\WINDOWS\system32\loanoltrd.dll>  []
删除文件
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\loanoltrd.dll
chief163 - 2008-8-1 12:37:00
还是老样子,重起后花屏。我干脆还原C盘 然后在不启动QQ的情况下。卸载QQ 看可以杀掉病毒不?
1
查看完整版本: 这个病毒怎么杀呀!!!
© 2000 - 2026 Rising Corp. Ltd.