牛009 - 2011-2-17 1:11:00
朋友的机器,要求重装系统,重装后装卡巴报警而研究发现。
遇到新QQ.exe病毒,现与毒共存中。
安全模式下才能看到:启动项有QQ.exe
注册表内有:QQ.exe和运行一次.exe
开机偷偷调IE下毒,被所装杀毒软件报警发现。
具体如下:
检测到:风险软件 Invader 正在运行的进程 : C:\Program Files\360\360Se\360se3\360SE.exe
已删除:木马程序 Trojan-Clicker.Win32.Agent.ruq 文件: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1026_61.dat
已删除:木马程序 Trojan-Spy.Win32.BHO.oo 文件: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\100082.dat
检测到:风险软件 Hidden install 正在运行的进程 : C:\Documents and Settings\Administrator\Local Settings\Temp\bdjs_100083.dat
跟着进程内多了个:svchoot.dat
在C:\Documents and Settings\Administrator\Local Settings\Temp\svchoot.dat
跟着就开始自动跳网页出来
svchoot.dat 卡巴和瑞星拦不住,诺顿拦住。
今天诺顿还拦住了:QQ.exe
0时前发现所装诺顿不启动,不知是朋友误删除了还是给毒给杀了,重装后将其报毒复制如下:
发现启动项中的:QQ.exe,现其不当是病毒而拦截了。
类别:隔离区
日期和时间,风险,活动,状态,推荐的操作,路径 - 文件名
2011-2-17 0:16,高,检测到 qqkav_newhua.exe (Infostealer) (检测方: 自动防护),已隔离,已解决 - 不需要操作,d:\downloads\qqkav_newhua.exe(QQ专杀)
2011-2-16 23:14,高,检测到 bhoexe.dll (Trojan.Gen) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\windows\system32\bhoexe.dll
2011-2-16 23:14,高,检测到 360.dll (Backdoor.Graybird) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\windows\system32\360.dll
2011-2-16 22:49,高,检测到 8082.dat (Suspicious.Graybird.1) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\8082.dat
2011-2-16 22:48,高,检测到 bdjs_100083.dat (Suspicious.Graybird.1) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\bdjs_100083.dat
2011-2-16 22:48,高,检测到 8082.dat (Suspicious.Graybird.1) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\8082.dat
2011-2-15 13:35,高,检测到 svchoot.dat (svchoot.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\svchoot.dat
2011-2-15 13:35,高,检测到 1026_61.dat (1026_61.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\1026_61.dat
2011-2-15 13:35,高,检测到 bdjs_100083.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\bdjs_100083.dat
2011-2-15 13:35,高,检测到 antan_ceshi82.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\antan_ceshi82.dat
2011-2-15 13:22,高,检测到 svchoot.dat (svchoot.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\svchoot.dat
2011-2-15 13:22,高,检测到 etb2.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\etb2.dat
2011-2-15 13:22,高,检测到 bdjs_100083.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\bdjs_100083.dat
2011-2-15 13:22,高,检测到 antan_ceshi82.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\antan_ceshi82.dat
2011-2-15 13:22,高,检测到 1026_61.dat (1026_61.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\1026_61.dat
2011-2-15 13:16,高,检测到 svchoot.dat (svchoot.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\svchoot.dat
2011-2-15 13:16,高,检测到 bdjs_100083.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\bdjs_100083.dat
2011-2-15 13:15,高,检测到 1026_61.dat (1026_61.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\1026_61.dat
2011-2-15 13:15,高,检测到 antan_ceshi82.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\antan_ceshi82.dat
2011-2-15 13:13,高,检测到 etb2.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\etb2.dat
2011-2-15 13:13,高,检测到 svchoot.dat (svchoot.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\svchoot.dat
2011-2-15 13:13,高,检测到 bdjs_100083.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\bdjs_100083.dat
2011-2-15 13:13,高,检测到 antan_ceshi82.dat (Suspicious.Graybird.1) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\antan_ceshi82.dat
2011-2-15 13:13,高,检测到 1026_61.dat (1026_61.dat) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\documents and settings\administrator\local settings\temp\1026_61.dat
2011-2-15 12:30,高,检测到 quickreboot.exe (Infostealer) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,c:\ghost\resource\quickreboot.exe
求助:
如何清除启动项不再生成:QQ.exe
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.6)
牛009 - 2011-2-17 1:26:00
500G硬盘,FGH有资料没动,原C、D格式化后分成C、D、E,重装系统后启动就报毒,取另一硬盘装好系统和卡巴、360后关机,接这一块硬盘,在DOS下克隆到C、D后关机,拆新硬盘开机,没杀到有毒,重启就报毒。后在安全模式下发现:QQ.exe
networkedition - 2011-2-17 9:34:00
QQ.exe和运行一次.exe及C:\Documents and Settings\Administrator\Local Settings\Temp\svchoot.dat
这三个文件找到压缩发到可疑文件交流区。
牛009 - 2011-2-17 23:29:00
QQ.exe和运行一次.exe我不清楚它在那,搜索不到,我不敢将该盘接去其他机,怕传染。
svchoot.dat我到时到朋友停杀软后打包上传。
有svchoot.dat进程,不管你做什么,隔一段时间,IE自动弹出,360、瑞星消息等一样,不过它是弹出IE打开一个无聊、垃圾网站。
StreetMilk - 2011-2-18 16:45:00
“不管你做什么,隔一段时间,IE自动弹出,360、瑞星消息等一样,不过它是弹出IE打开一个无聊、垃圾网站。”
麻烦你看一下“开始”——“程序”——“附件”——“系统工具”——“任务计划”是否多出一些任务计划?对着相应的“任务计划”点鼠标右键——选“属性”,查看“运行”的路径。
建议楼主到3楼下载SRENG将扫描日志传到附件里,便于我们帮你分析。
© 2000 - 2024 Rising Corp. Ltd.
