瑞星卡卡安全论坛

遇到了无法解决的问题！双击EXE文件后文件就消失了（如剑侠3所有的EXE），而有的EXE文件却可以打开(qq、快车、迅雷、单机游戏)。开网页后，有的网页会崩溃。点击QQ空间的抢车位后，网页自动关闭！用GHOST还原系统还是无法解决！电脑本身装有360的防毒杀毒软件的！不知如何中的毒！求高手解决！ 参考过论坛里的解决方案，附上扫描日志！谢谢！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; TheWorld)

附件: SREngLOG.log

~~没重要的东西，就重装吧~~有伪数字签名的dll

用GHOST恢复系统还是无法解决！难道重装就可以吗？可以的话我试试吧！

~~你的电脑问题，问猫叔是可以解决的~~这些毒很牛的~~第一次见这样的日志~~

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\qdt.dll
c:\windows\system32\drivers\bdguard.sys

2.删除重启后使用SREng修复下面各项：


  启动项目 －－ 服务－－ 驱动程序之如下项删除：
[BdGuard / BdGuard]    <\SystemRoot\system32\drivers\BDGuard.SYS>

这三个很可疑的：
    <C:\WINDOWS\system32\KKKJ.dll> 
    <C:\WINDOWS\system32\DDDD.dll>
    <C:\WINDOWS\system32\EDDD.dll>

C:\WINDOWS\system32\qdt.dll这个文件很奇怪

它难道会去折腾剑侠3所有的EXE:kaka2:

它去折腾那个干什么呢？？

难道那些exe程序签名也在那病毒内？？？

好象只会删除安全软件似的。

此病毒是javqhc病毒。

这几天又见做免杀的出现

我也不知为什么，其它网络游戏 CSONLINE 反恐行动等都可以运行，就是剑3不可以。连剑3的安装文件双击后都消失了！郁闷死了！

搜索了下，剑侠3是金山的:kaka16:

能否想办法把c:\windows\system32\qdt.dll传上来？

你又不是没重装过:kaka6:
估计有病毒隐藏在非系统分区的某个绿色软件（指不需安装就可使用的）内。

应byxxdrls 要求把QDT.DLL上传，将后缀名log改为DLL即可！

附件: qdt.log

这下玩笑开大了吧，如果是藏在某个文件里，难道要吧所有软件删除！

按照您所说的处理后，刚开始可以用。过不了几分钟后问题依然！qdt.dll重新出现！bdguard.sys没有发现！

该用户帖子内容已被屏蔽

以前此文件驻留QQ软件内，一运行QQ软件就继续来毒

现在不知道会在哪个软件内

试试下载附件运行扫描一下，看提示哪个地方还有此文件。

下载附件，解压到桌面上，运行程序，扫描后，将程序同目录内的日志文件Scan.log发来看看

附件: AntiFldVir.rar (2009-11-5 19:31:32, 65.58 K)
该附件被下载次数 429

怪道的

原来是金山的

呵呵

金山的签名自然要被喀嚓了

病毒是肯定要删除一切金山签名的程序文件的。

只找到一个病毒！

附件: Scan.log

老是弹出一些ie插件名称如 UUUU.DLL DDDD.DLL 等！

搜索一下QQ目录中快车目录中有没有隐藏的wsock32.dll。应该有。

确实有这个文件，被我删除了！

打开浏览器后发现鼠标一直在显示后台运行。查看任务管理器发现老是有个IU在运行！而CPU使用率高达35%以上。我只是打开网页而已，其它都没做！

现在可以再扫描个最新SRENG日志来看了
大致知道文件在哪了

好的重新扫描文件已经做好！

附件: SREngLOG.log

==============================================================
建议删除以下文件：
C:\WINDOWS\system32\qdt.dll
C:\WINDOWS\system32\KKKJ.dll
C:\WINDOWS\system32\DDDD.dll
C:\WINDOWS\system32\EDDD.dll
2.删除重启后使用SREng修复下面各项：
    启动项目 －－ 注册表之如下项删除：
程序名称【viy】，映像路径【C:\WINDOWS\system32\qdt.dll】
程序名称【{642FDB97-7531-20EC-42FD-DB97520EC974}】，映像路径【C:\WINDOWS\system32\KKKJ.dll】 
程序名称【{2FDB9752-31FD-ECA8-0DB9-97530ECA8530}】，映像路径【C:\WINDOWS\system32\EDDD.dll】
程序名称【{31FDA864-520E-0DB9-1FDB-B86420EB9752}】，映像路径【C:\WINDOWS\system32\DDDD.dll】


==============================================================
报告分析作者：天涯浪子1988
报告分析日期：2009/11/6
作者邮件地址：
作者其他信息：
囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧
囧  PLA'S Report For Your Problem (Ver 1.1.34)
囧revip@163.com(Evol)
囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧囧


不过感觉主要问题是这个：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<stup.exe><Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R>  [(Verified)Tencent Technology(Shenzhen) Company Limited]
听天月怎么说

去我置顶工具贴内找超级巡警，删除下面文件。

C:\WINDOWS\system32\qdt.dll
C:\WINDOWS\system32\KKKJ.dll
C:\WINDOWS\system32\DDDD.dll
C:\WINDOWS\system32\EDDD.dll
C:\PROGRA~1\腾讯游戏\QQGAME\wsock32.dll
C:\PROGRA~1\Tencent\QQ\wsock32.dll

不论删除结果如何，重启电脑

在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <stup.exe><Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R>  [(Verified)Tencent Technology(Shenzhen) Company Limited]
    <viy><C:\WINDOWS\system32\qdt.dll>  []
    <{642FDB97-7531-20EC-42FD-DB97520EC974}><C:\WINDOWS\system32\KKKJ.dll>  []
    <{31FDA864-520E-0DB9-1FDB-B86420EB9752}><C:\WINDOWS\system32\DDDD.dll>  []
    <{2FDB9752-31FD-ECA8-0DB9-97530ECA8530}><C:\WINDOWS\system32\EDDD.dll>  []

然后看，到底做什么事，又会出现那游戏文件被删除的情况

C:\WINDOWS\vsnpstd3.exe是什么？？是传奇木马进程吧~~

我现在有些郁闷，为什么他上次扫描的时候：
    <{642FDB97-7531-20EC-42FD-DB97520EC974}><C:\WINDOWS\system32\KKKJ.dll>  []
    <{31FDA864-520E-0DB9-1FDB-B86420EB9752}><C:\WINDOWS\system32\DDDD.dll>  []
    <{2FDB9752-31FD-ECA8-0DB9-97530ECA8530}><C:\WINDOWS\system32\EDDD.dll>  []
这些后面有数字签名，为什么这次却没有了？？？:kaka6:

c:\windows\system32\qdt.dll一旦能够运行加载

就会恶搞成那样

现在进程中，这个变异的javqhc病毒不工作了，自然那些就扫出来了:kaka6:

摄像头程序吧:kaka6: