微点交流论坛

标题: 求助，如何清除Trojan-Downloader.Win32.Small.kdg/kdh [打印本页]

作者: rand0m 时间: 2007-7-20 11:18 标题: 求助，如何清除Trojan-Downloader.Win32.Small.kdg/kdh

avg Anti-Spyware v7.5能检出但无法清除，搜索，无果:(

微点的木马日志如下

时间处理结果木马名称木马进程名木马文件创建者
2007-07-20 08:26:43 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT5.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-20 08:26:43 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\KI20LURV\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 23:31:52 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT3.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 23:31:52 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\FZ9UF07F\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 23:08:17 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT1.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 23:08:17 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\KI20LURV\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 22:45:04 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT1.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 22:45:04 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\KI20LURV\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 22:02:02 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT1.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 22:02:02 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\KI20LURV\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 20:45:51 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT1.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 20:45:50 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\KI20LURV\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 20:28:59 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT1.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 20:28:59 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\KI20LURV\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 07:55:55 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT2.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 07:55:55 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\HPFV2AS5\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 07:45:27 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT1.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-19 07:45:23 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\7559HX4W\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-18 21:21:57 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT3.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-18 21:21:57 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\HPFV2AS5\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-18 21:06:08 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT2.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-18 21:06:08 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\7559HX4W\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-18 20:33:58 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT1.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-18 20:33:58 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\0U5C23RX\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-18 15:09:51 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT1.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-18 15:09:51 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\0U5C23RX\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-18 15:09:51 等待用户返回超时 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\0U5C23RX\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 22:35:38 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT3.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 22:35:38 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\WHR73EN0\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 22:33:05 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT2.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 22:33:05 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\0U5C23RX\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 22:27:47 处理成功 Trojan-Downloader.Win32.Small.kdh C:\WINDOWS\TEMP\VRT1.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 22:27:47 处理成功 Trojan-Downloader.Win32.Small.kdh C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\WHR73EN0\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 00:42:10 处理成功 Trojan-Downloader.Win32.Small.kdg C:\WINDOWS\TEMP\VRT1.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 00:42:10 处理成功 Trojan-Downloader.Win32.Small.kdg C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\0U5C23RX\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 00:36:50 处理成功 Trojan-Downloader.Win32.Small.kdg C:\WINDOWS\TEMP\VRT9.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 00:36:50 处理成功 Trojan-Downloader.Win32.Small.kdg C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\WHR73EN0\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 00:30:13 处理成功 Trojan-Downloader.Win32.Small.kdg C:\WINDOWS\TEMP\VRT6.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 00:30:13 处理成功 Trojan-Downloader.Win32.Small.kdg C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\0U5C23RX\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 00:23:20 处理成功 Trojan-Downloader.Win32.Small.kdg C:\WINDOWS\TEMP\VRT1.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-17 00:23:20 处理成功 Trojan-Downloader.Win32.Small.kdg C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\0U5C23RX\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-16 23:33:01 处理成功 Trojan-Downloader.Win32.Small.kdg C:\WINDOWS\TEMP\VRT9.TMP C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2007-07-16 23:33:01 处理成功 Trojan-Downloader.Win32.Small.kdg C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\WHR73EN0\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE

[ Last edited by rand0m on 2007-7-20 at 11:19 ]

作者: 如风过路 时间: 2007-7-20 11:27
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\WHR73EN0\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE

这个是主要的
你到安全模式，用WINDOWS清理助手清理，然后重启就可以了

作者: Legend 时间: 2007-7-20 11:27
楼主的情况请把您的微点软件系统自启动信息及微点安装目录下的mp6目录到出发到support@micropoint.com.cn我们具体测试分析下，请在来信中附上这个帖子的地址，方便我们跟踪为您解决问题。

作者: qqq111qqq111 时间: 2007-7-20 12:01
试下:[凝逸反毒]的[黑洞]引擎,
(把木马与注册表值加入【自定吞噬】,就能删除)
====木马======
====注册表值==========
===========

1.黑洞吞噬一切启动型病毒
2.吞噬:av终结者.帕虫.随机7/8位病毒,U盘病毒,QQ尾巴,
3.锁定时间.显示文件
方法:  1.点【黑洞】
   2.强行关机后,重开机在点次【黑洞】
   3.在用杀软扫除病毒
【自定吞噬】
   删除难清除木马的文件与注册表目录

【凝逸实验室】-[凝逸反毒]
QQ:503165656
主页:http://hi.baidu.com/503165656
下载:http://groups.google.com/group/503165656/web/nyfd.zip

杀不了,样本发到:503165656@qq.com

[黑洞]引擎的【自定吞噬】说明
http://hi.baidu.com/503165656/bl ... 37acfffd037f4a.html

================
下载 System Repair Engineer，
http://download.kztechs.com/files/sreng2.zip
1 解压缩sreng2.zip
2 运行SREngPS.EXE
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来，不要修改
================

作者: rand0m 时间: 2007-7-20 12:17

Quote:

Originally posted by 如风过路 at 2007-7-20 11:27:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\WHR73EN0\LOADADV735[1].EXE C:\WINDOWS\SYSTEM32\WINLOGON.EXE

这个是主要的
你到安全模式，用WINDO ...

LOADADV735[1].EXE每次一出现就被微点秒杀了，只是怎么也杀不绝
进程里只有一个小写的winlogon.exe，要是删掉了会不会出问题？

Quote:

Originally posted by Legend at 2007-7-20 11:27:
楼主的情况请把您的微点软件系统自启动信息及微点安装目录下的mp6目录到出发到support@micropoint.com.cn我们具体测试分析下，请在来信中附上这个帖子的地址，方便我们跟踪为您解决问题。

已按照要求发送了:)
520k的mp6文件夹压缩时说磁盘空间不够，明明那个盘还有1g可用空间。最后把它复制到别处才成功压缩，现在微点安装目录下多出一个0k的mp6.zip和一个0k的mp6.rar，删除时说找不到元素，真是囧啊

[ Last edited by rand0m on 2007-7-20 at 12:19 ]

作者: Legend 时间: 2007-7-20 12:23
“520k的mp6文件夹压缩时说磁盘空间不够，明明那个盘还有1g可用空间。最后把它复制到别处才成功压缩，现在微点安装目录下多出一个0k的mp6.zip和一个0k的mp6.rar，删除时说找不到元素，真是囧啊”

您遇到的这种情况属于微点软件对自身安装目录的保护，防止其他恶意程序修改或创建文件，您可以把mp6文件夹复制到桌面，然后再压缩发送即可；如果您想删除刚才产生的0K文件需要结束微点服务后手动删除。
您的情况也可以加入微点软件技术交流群：1471553管理员帮您远程分析解决。

作者: rand0m 时间: 2007-7-20 12:26

Quote:

Originally posted by qqq111qqq111 at 2007-7-20 12:01:
试下:[凝逸反毒]的[黑洞]引擎,
(把木马与注册表值加入【自定吞噬】,就能删除)
====木马======
====注册表值==========
===========

1.黑洞吞噬一切启动型病毒
2.吞噬:av终结者.帕虫.随机7/ ...

问题是不知道这个木马是什么，在哪里

作者: rand0m 时间: 2007-7-20 12:30

Quote:

Originally posted by Legend at 2007-7-20 12:23:
“520k的mp6文件夹压缩时说磁盘空间不够，明明那个盘还有1g可用空间。最后把它复制到别处才成功压缩，现在微点安装目录下多出一个0k的mp6.zip和一个0k的mp6.rar，删除时说找不到元素，真是囧啊”

您遇到的这种 ...

删掉了，多谢指点

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn