360发现行为和木马比较相似的程序 c:\WINDOWS\system32\prtHook.dll，请问是病毒吗？

1. 360发现行为和木马比较相似的程序 c:\WINDOWS\system32\prtHook.dll，请问是病毒吗？

这个dll文件非微软。 这个dll文件他会hook 文件查找，文件移动，文件复制，注册表打开，注册表的创建，注册表的删除等操作， 建议删除。


入口点错误：RegOpenKeyA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：RegOpenKeyW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：RegOpenKeyExA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：RegOpenKeyExW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：RegCreateKeyA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：RegCreateKeyW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：RegCreateKeyExA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：RegCreateKeyExW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：MoveFileA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：MoveFileExA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：MoveFileExW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：MoveFileW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：CreateFileA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：CreateFileW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：CopyFileA (危险等级: 一般,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：CopyFileExA (危险等级: 一般,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：CopyFileExW (危险等级: 一般,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)
入口点错误：CopyFileW (危险等级: 一般,  被下面模块所HOOK: C:\WINDOWS\system32\prtHook.dll)

2. DNF登录时候DNFBase.dll.这个文件360杀毒报有毒

不会的
这个是软件误报
你实在担心
可以下载其他杀毒软件查杀该问题
确定没有问题后
建议你卸载360或者把这个程序加入白名单。

3. 电脑内存区扫描出W32.Autoit.Obfus.-3病毒 ， 求解决。金山、360、卡巴都没杀出毒。

从内存区扫描到的话，你重启一下就可以了，内存的所有数据在重启的时候都会被清空，当然也包括病毒，重启了再用这个杀毒专家扫描看看，如果还是说有病毒，你就要找个查杀率高的杀软全盘扫描看看了，我建议你可以用腾讯电脑管家，它有鹰眼引擎，可以深度清除顽固病毒

4. 我用了一个易语言破解补丁 弄出一个简单的软件 但是360报毒 是真有毒 还是误报 说是这个病毒win32/ trojan

杀毒软件报毒很正常，你自己的代码还不清楚啊，用到一些敏感的API(就像hook类的基本上都报毒)，或者程序执行了一些对系统有修改的操作都会有提示的。一般加个壳就不报了。 

你这样试下，就建个窗口编译一下，运行一下，如果这都报毒，估计你机子上已经有毒了。

5. 为什么我的360卫士扫描病毒时候怎么自己关了

磁碟机 
开放分类： 电脑、病毒、计算机病毒、计算机安全

 分析报告

    这是一个MFC写的感染型病毒。
  病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。然后在 System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然后该程序退出，运行刚刚释放的lsass.exe。
  lsass.exe运行后，会在com文件夹下重新释放刚才所释放的文件，同时会在system32文件夹下释放一个新的动态库文件dnsq.dll，然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本，然后进行以下操作：
  1． 从以下网址下载脚本http://www.****.****/*.htm、.....。
  2． 生成名为”MCI Program Com Application”的窗口。
  3． 程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
  4． 查找带以下关键字的窗口，查找带以下关键字的窗口，如果找到则向其发消息将其退出：RsRavMon、McShield、PAVSRV…
  5． 启动regsvr32.exe进程，把动态库netcfg.dll注到该进程中。
  6． 遍历磁盘，在所有磁盘中添加autorun.inf和pagefile.pif，使得用户打开磁盘的同时运行病毒。
  7． 通过calcs命令启动病毒进程得到完全控制权限，使得其他进程无法访问该进程。
  8． 感染可执行文件，当找个可执行文件时，把正常文件放在自己最后一个节中，通过病毒自身所带的种子值对正常文件进行加密。
  smss.exe用来实现进程保护，程序运行后会进行以下操作：
  1．创建一个名为xgahrez的互斥体，防止进程中有多个实例运行。
  2．然后创建一个名为MSICTFIME SMSS的窗口，该窗口会对三种消息做出反应：
  1．WM_QUERYENDSESSION：当收到该消息时，程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
  2．WM_TIMER：该程序会设置一个时钟，每隔0.2秒查找“MCI Program Com Application”窗口，如果找不到则运行病毒程序。
  3．WM_CAP_START：当收到该消息时，向其发送退出消息。
  3．把lsass.exe拷贝到C盘根目录下命名为037589.log，同时把该文件拷到启动目录下实现自启动。
      
  dnsq.dll通过挂接全局消息钩子，把自己注到所有进程中，该动态库主要用来HOOK API和重写注册表。动态库被加载后会进行以下操作：
  1． 判断自己所在进程是否是lsass.exe、smss.exe、alg.exe，如果是则退出。
  2． HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle这几个API使得杀毒软件无法查杀病毒进程。
  3． 遍历进程如果进程名为lsass.exe、smss.exe、alg.exe则直接退出，如果是其他进程则创建一个线程，该线程每隔2秒进行以下操作：
  
  1．修改以下键值使得用户无法看到隐藏的受保护的系统文件
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
  2．删除以下注册表键值使得用户无法进入安全模式
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

       HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

       HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\

HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\

       3．删除以下注册表项，使得镜像劫持失效
       HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options
  4．读取以下注册表键值，判断当前系统是否允许移动设备自动运行，如果不允许则修改为允许
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
       NoDriveTypeAutoRun
  5．修改以下注册表项使得手动修改以下键值无效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
       Type = radio
  6．添加以下注册表项使得开机时，系统会把该动态库注到大部分进程中
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Windows
       AppInit_DLLs = %SYSTEM%\dnsq.dll.
  7．通过calcs命令启动病毒进程得到完全控制权限，使得其他进程无法访问该进程。
  8．查找带以下关键字的窗口，如果找到则向其发消息将其退出：
SREng 介绍、360safe、木、antivir、…
  netcfg.dll主要用来下载文件，动态库被加载后会从以下网址下载病毒程序
http://js.k0102.com/data.gif，查找窗口”MCI Program Com Application”如果该窗口不存在则运行下载的程序。

综合评价

    此病毒变种繁多，并且在不断更新升级，可以绕过主动防御、Hips、Byshell技术、监控文件和窗口、破坏组策略/IFEO、U盘感染、进程守护、关绝大部分杀毒软件和屏蔽常见安全工具、感染非系统分区下EXE等文件（（包括rar中的exe文件））、关闭自动更新破坏安全模式、删除显示受保护的隐藏系统文件选项、开启驱动器自动播放 autorun、浏览器弹出广告、使用ARP欺骗，坏事做绝，普通用户难以处理。  

“磁碟机”病毒近日在互联网引起轩然大波，由于病毒严重侵害了众多企业和个人用户电脑系统，引起了全国电脑用户的一致声讨。越来越多的杀毒厂商加入到了剿杀“磁碟机”的行列，打响了又一场反病毒大战。
  去年的“熊猫烧香”病毒大战人们记忆犹新，因为病毒在电脑里面生成了很多举着三柱香的熊猫图案，一度引起全国电脑用户的议论和恐慌。然而，“磁碟机”病毒似乎并没有“熊猫烧香”那么火爆，但是许多反病毒专家都一致认为“磁碟机”危害十倍于“熊猫烧香”，这是为什么呢？
  反病毒专家何公道近日对“磁碟机”和“熊猫烧香”病毒进行了对比分析，从中可以看出“磁碟机”病毒为什么会被推为“毒王”了。
  一、传播途径
  “熊猫烧香”病毒有多种传播方式。通过U盘和感染网页文件挂马传播，通过局域网传播，通过攻破一些大型网站，采用在正常网页上挂马的方式传播。“磁碟机”病毒利用“ARP病毒”在局域网中进行自我传播，病毒通过访问一个恶意网址，下载并自动运行二十多个病毒，通过其中的ARP病毒，“磁碟机”可以瞬间传遍整个网络内电脑。
  “磁碟机”也可以通过U盘和网页挂马传播，但目前尚没有发现病毒作者通过攻破大型网站的方式挂马传播的案例，这也是目前“磁碟机”在传播范围上尚不及“熊猫烧香”的原因，但如果一旦病毒作者通过这种方式大面积传播，后果将不堪设想。
  二、反攻杀毒软件能力
  “熊猫烧香”和“磁碟机”病毒都有反攻杀毒软件的能力，但不同的是，“熊猫烧香”只是通过发送关闭消息的方式关闭杀毒软件，而“磁碟机”则通过生成一个内核权限的驱动程序来破坏杀毒软件的监控，使杀毒软件的监控功能失效，然后再关闭杀毒软件并阻止杀毒软件升级，并屏蔽主流的杀毒软件网页。
  这一点上，“磁碟机”远远超过了“熊猫烧香”病毒，导致一些主动防御功能不强的杀毒软件纷纷被关闭，目前，“磁碟机”能够关闭一些主流杀毒软件，这也是为什么众多企业在遇到“磁碟机”病毒时，整个局域网内几乎无一台电脑幸免病毒之灾的原因。
  三、自我保护和隐藏能力
  “熊猫烧香”采用的是进程保护，病毒首先生成一个系统服务程序来保护其进程不被关闭，只要清除了病毒生成的系统服务，就可以轻松关闭其进程。
  而“磁碟机”在自我保护和隐藏技术上几乎无所不用其极，通过十余种技术来达到自我保护的目的。例如：利用进程守护技术，发现病毒文件被删除或被关闭，会马上生成重新运行。病毒程序以系统级权限运行，DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。系统启动后再将[启动]文件夹中病毒主体删除掉，实现既可隐蔽启动，又不被用户发现的目的。使用反HIPS技术绕过部分主动防御程序“HIPS”的监控。利用光纤接入的服务器高速升级病毒体，迅速更新避免杀毒软件查杀。
  四、病毒变种和自我更新速度
  “熊猫烧香”由于技术上较“磁碟机”简单，加上源代码可能外泄，因此病毒变种较多，而”磁碟机”由于病毒程序复杂，加上目前可以确定其源代码尚未泄露到互联网上，因此一周只出现两到三个变种，最多的时候达到了一天出现两个变种的速度，虽然相较于“熊猫烧香”在变种数量上稍逊一筹，但“磁碟机”的在线升级更新速度之快令人咋舌。
  反病毒专家甚至怀疑，“磁碟机”病毒使用了光纤接入的升级服务器，能够实现在下载量很大的情况下，病毒体也可以瞬间自动完成更新。
  五、病毒的破坏性
  在破坏性上，“熊猫烧香”和“磁碟机”都能够感染电脑内的可执行文件和网页文件，导致系统运行缓慢，不同的是，“磁碟机”在感染文件过程中对感染文件进行了加密存放，使得清除病毒难度更大。两者都可以链接到恶意网页下载木马病毒，但在下载的木马病毒数量上，“磁碟机”远超过“熊猫烧香”，“磁碟机”能够下载二十余种木马病毒，“熊猫烧香”只能下载一个或几个木马。
  而“磁碟机”借助ARP病毒给企业局域网用户带来了巨大的灾难性事故，由于“磁碟机”可以借助ARP方式瞬间感染所有局域网内电脑，因此许多单位的工作因此中断，造成了不可估量的损失。
  六、病毒的表现形式
  在表现形式上，“熊猫烧香”的表现十分明显，感染可执行文件生成“熊猫烧香”的图案，十分易于判断。而“磁碟机”的感染则十分低调隐蔽。他千方百计隐藏自身的行踪，普通用户从表面看很难发现有中毒的痕迹，很多用户中毒后尚不自知，除了感觉系统似乎变慢外无其它明显异常症状。
  而“磁碟机”病毒也正是在这种刻意低调的伪装下，伺机窃取用户的隐私敏感信息，包括游戏帐号和网上银行、网上证券交易等帐号密码，这比“熊猫烧香”明目张胆的打劫更可怕。
专杀工具
http://zhuansha.duba.net/259.shtml 

 
 

http://zhuansha.duba.net/259.shtml

6. 病毒高手请进!!!!!!!!!

http://sou.jiangmin.com/queryFaily.asp?virword=TrojanDownloader.Small.gzt
我Google搜，只找到了一条关于这个病毒的记录，居然还时发现它的江民
（这肯定不是灰鸽子，灰鸽子是Huigezi或GPigeon，是后门Backdoor病毒，不是Trojan木马）

7. 360杀毒的时候出现了个，QQX5。DLL。的文件，我上网查是炫舞的文件，是不是病毒？删不删呀？

千万不能删除，那个是客户端的重要文件，如果你删除了

炫舞客户端会打不开，出现文件破损

 

千万不要删除，那个只是疑似木马，但是不是的

8. imehook.ime 到底是什么病毒啊?

你好，imehook.ime是一种超级顽固的电脑病毒。感染你的文件的同时会把你的一些系统文件一起删除掉，如果你想查杀的话建议你下载一个腾讯电脑管家，腾讯电脑管家强力的查杀功能能瞬间杀死此病毒达到修复自身系统的目的，推荐你使用，并且也不占资源。