遇到新QQ.exe病毒 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛遇到新QQ.exe病毒

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

遇到新QQ.exe病毒

本主题由大版主 networkedition 于 2011-2-17 9:35:56 执行移动主题操作

牛009 初生襁褓狮帖子:3 注册: 2011-02-17 来自:	发表于： 2011-02-17 01:11 \| 只看楼主短消息资料字号：小中大 1楼遇到新QQ.exe病毒朋友的机器，要求重装系统，重装后装卡巴报警而研究发现。遇到新QQ.exe病毒，现与毒共存中。安全模式下才能看到：启动项有QQ.exe 注册表内有：QQ.exe和运行一次.exe 开机偷偷调IE下毒，被所装杀毒软件报警发现。具体如下：检测到：风险软件 Invader 正在运行的进程 : C:\Program Files\360\360Se\360se3\360SE.exe 已删除：木马程序 Trojan-Clicker.Win32.Agent.ruq 文件: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1026_61.dat 已删除：木马程序 Trojan-Spy.Win32.BHO.oo 文件: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\100082.dat 检测到：风险软件 Hidden install 正在运行的进程 : C:\Documents and Settings\Administrator\Local Settings\Temp\bdjs_100083.dat 跟着进程内多了个：svchoot.dat 在C:\Documents and Settings\Administrator\Local Settings\Temp\svchoot.dat 跟着就开始自动跳网页出来 svchoot.dat 卡巴和瑞星拦不住，诺顿拦住。今天诺顿还拦住了：QQ.exe 0时前发现所装诺顿不启动，不知是朋友误删除了还是给毒给杀了，重装后将其报毒复制如下：发现启动项中的：QQ.exe，现其不当是病毒而拦截了。类别：隔离区日期和时间,风险,活动,状态,推荐的操作,路径 - 文件名 2011-2-17 0:16,高,检测到 qqkav_newhua.exe (Infostealer) (检测方: 自动防护),已隔离,已解决 - 不需要操作,d:\downloads\qqkav_newhua.exe（QQ专杀） 2011-2-16 23:14,高,检测到 bhoexe.dll (Trojan.Gen) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\windows\system32\bhoexe.dll 2011-2-16 23:14,高,检测到 360.dll (Backdoor.Graybird) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\windows\system32\360.dll 2011-2-16 22:49,高,检测到 8082.dat (Suspicious.Graybird.1) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\8082.dat 2011-2-16 22:48,高,检测到 bdjs_100083.dat (Suspicious.Graybird.1) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\bdjs_100083.dat 2011-2-16 22:48,高,检测到 8082.dat (Suspicious.Graybird.1) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\8082.dat 2011-2-15 13:35,高,检测到 svchoot.dat (svchoot.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\svchoot.dat 2011-2-15 13:35,高,检测到 1026_61.dat (1026_61.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\1026_61.dat 2011-2-15 13:35,高,检测到 bdjs_100083.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\bdjs_100083.dat 2011-2-15 13:35,高,检测到 antan_ceshi82.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\antan_ceshi82.dat 2011-2-15 13:22,高,检测到 svchoot.dat (svchoot.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\svchoot.dat 2011-2-15 13:22,高,检测到 etb2.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\etb2.dat 2011-2-15 13:22,高,检测到 bdjs_100083.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\bdjs_100083.dat 2011-2-15 13:22,高,检测到 antan_ceshi82.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\antan_ceshi82.dat 2011-2-15 13:22,高,检测到 1026_61.dat (1026_61.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\1026_61.dat 2011-2-15 13:16,高,检测到 svchoot.dat (svchoot.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\svchoot.dat 2011-2-15 13:16,高,检测到 bdjs_100083.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\bdjs_100083.dat 2011-2-15 13:15,高,检测到 1026_61.dat (1026_61.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\1026_61.dat 2011-2-15 13:15,高,检测到 antan_ceshi82.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\antan_ceshi82.dat 2011-2-15 13:13,高,检测到 etb2.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\etb2.dat 2011-2-15 13:13,高,检测到 svchoot.dat (svchoot.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\svchoot.dat 2011-2-15 13:13,高,检测到 bdjs_100083.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\bdjs_100083.dat 2011-2-15 13:13,高,检测到 antan_ceshi82.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\antan_ceshi82.dat 2011-2-15 13:13,高,检测到 1026_61.dat (1026_61.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\1026_61.dat 2011-2-15 12:30,高,检测到 quickreboot.exe (Infostealer) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,c:\ghost\resource\quickreboot.exe 求助：如何清除启动项不再生成:QQ.exe 用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.6)
牛009 初生襁褓狮帖子:3 注册: 2011-02-17 来自:	分享到：

牛009 初生襁褓狮帖子:3 注册: 2011-02-17 来自:	发表于： 2011-02-17 01:26 \| 只看楼主短消息资料字号：小中大 2楼补充：遇到新QQ.exe病毒 500G硬盘，FGH有资料没动，原C、D格式化后分成C、D、E，重装系统后启动就报毒，取另一硬盘装好系统和卡巴、360后关机，接这一块硬盘，在DOS下克隆到C、D后关机，拆新硬盘开机，没杀到有毒，重启就报毒。后在安全模式下发现：QQ.exe
牛009 初生襁褓狮帖子:3 注册: 2011-02-17 来自:

大头23 锋芒艾服狮帖子:1850 注册: 2008-07-23 来自:	发表于： 2011-02-17 09:26 \| 短消息资料字号：小中大 3楼回复：遇到新QQ.exe病毒建议楼主将杀毒软件升级至最新后断网查杀，查杀完成后可以使用助手类软件清空计算机中的垃圾文件，如果仍有问题扫描SREng日志上传吧。 SREng下载地址http://www.kztechs.com/sreng/download.html
大头23 锋芒艾服狮帖子:1850 注册: 2008-07-23 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2011-02-17 09:34 \| 短消息资料字号：小中大 4楼回复：遇到新QQ.exe病毒 QQ.exe和运行一次.exe及C:\Documents and Settings\Administrator\Local Settings\Temp\svchoot.dat 这三个文件找到压缩发到可疑文件交流区。 networkedition 最后编辑于 2011-02-17 09:35:04
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

牛009 初生襁褓狮帖子:3 注册: 2011-02-17 来自:	发表于： 2011-02-17 23:29 \| 只看楼主短消息资料字号：小中大 5楼回复 4F networkedition 的帖子 QQ.exe和运行一次.exe我不清楚它在那，搜索不到，我不敢将该盘接去其他机，怕传染。 svchoot.dat我到时到朋友停杀软后打包上传。有svchoot.dat进程，不管你做什么，隔一段时间，IE自动弹出，360、瑞星消息等一样，不过它是弹出IE打开一个无聊、垃圾网站。
牛009 初生襁褓狮帖子:3 注册: 2011-02-17 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2011-02-18 09:16 \| 短消息资料字号：小中大 6楼回复 5F 牛009 的帖子下载三楼提供的工具，扫描日志压缩发来。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

StreetMilk 飘泊而立狮帖子:710 注册: 2008-03-23 来自:	发表于： 2011-02-18 16:45 \| 短消息资料字号：小中大 7楼回复: 遇到新QQ.exe病毒 “不管你做什么，隔一段时间，IE自动弹出，360、瑞星消息等一样，不过它是弹出IE打开一个无聊、垃圾网站。” 麻烦你看一下“开始”——“程序”——“附件”——“系统工具”——“任务计划”是否多出一些任务计划？对着相应的“任务计划”点鼠标右键——选“属性”，查看“运行”的路径。 Snap2.jpg (93.64 K) 2011-2-18 16:44:41 建议楼主到3楼下载SRENG将扫描日志传到附件里，便于我们帮你分析。
StreetMilk 飘泊而立狮帖子:710 注册: 2008-03-23 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT