瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 求助杀不掉的病毒Trojan
丨左手写爱丶 - 2009-1-20 11:41:00
Trojan.DL.Win32.Undef.dds  这种病毒这几天莫名其妙的中了。用了N款杀毒都是杀了又有,杀了又有。或者重启又有,就是杀不尽。而且病毒都全是 Trojan开头的,应该是特洛依木马。哪位大哥能够教教我怎么样清除掉,我真的彻底删不了。上次来了次安全模式杀毒貌似开机也又有了,真不知道怎么办。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
aaccbbdd - 2009-1-20 11:41:00
个人建议不要偷懒,清理助手必须清理系统(如果可以运行的话),金山和sreng日志必须同时上传

1.扫日志前建议清理助手清理系统
清理助手下载
升级清理助手,全盘扫描,只清理报为病毒的高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注:如发现系统文件被替换,请将情况报上来,勿自己随意操作。如自己私自替换的,导致不能进系统,责任自负)

如清理无效

2.扫日志前关闭无用进程,如QQ,迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
4.金山清理专家官方下载  | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断(隐藏安全项)-导出诊断报告-(全选)-导出报告
5.2份日志/报告以附件上传(点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。),贴到反病毒/反流氓软件论坛.如已发帖的请跟贴,勿另开新帖。

建议2份日志同时上传,起到互补的作用(原因:金山和SRENG都能扫出另一个不能扫出的内容)!!
丨左手写爱丶 - 2009-1-20 11:45:00
大哥,看不懂,说具体点,太笼统了。怎么就这个回复啊!
piao2008 - 2009-1-20 11:45:00
扫SRENG日志发这论坛来

下载最新版本的SRENG工具:http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包,必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的:智能扫描=》扫描=》保存报告
4 把报告保存后,将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
不要随意开多贴求助,随意开多贴求助,将被删除多余求助贴。
叶陵君 - 2009-1-20 11:47:00
:default1: 你有没去看楼上的回复?
就说麻烦了. 其实就下载几个软件,按照要求扫描下,上传扫描结果而已,希望不会难到你.
丨左手写爱丶 - 2009-1-20 11:52:00

附件: SREngLOG.log (2009-1-20 11:52:11, 84.61 K)
该附件被下载次数 219



引用:
原帖由 piao2008 于 2009-1-20 11:45:00 发表
扫SRENG日志发这论坛来

下载最新版本的SRENG工具:http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包,必须解压缩后再运行。
2 运行SREng***.EXE
3 选
丨左手写爱丶 - 2009-1-20 11:53:00
日志已经发上去了,请帮我看一下,我扫了!
丨左手写爱丶 - 2009-1-20 11:55:00
麻烦各位大哥了,SRENG扫描日志在6楼。谢谢了!:default1:
aaccbbdd - 2009-1-20 11:56:00
日志无异常

建议卸载一款杀毒软件

病毒路径是什么?
丨左手写爱丶 - 2009-1-20 12:01:00
就是重启以后有时候又中了。同一种病毒,就是 Trojan。位置不知道怎么查啊。NOD32找了半天没病毒查杀的历史记录。还有瑞星2009找不到查杀历史记录。卡卡我后来扫了一次,没扫出病毒来。因为开始用瑞星和NOD已经杀了。
夲號ヱ被ジ盜 - 2009-1-20 12:03:00
[PID: 1188 / Administrator][C:\WINDOWS\Explorer.EXE]中
发现威胁
[C:\WINDOWS\system32\TDispVol.dll]  [N/A, ]
丨左手写爱丶 - 2009-1-20 12:03:00
2009-1-20 11:20:21    启动扫描程序    引导区    0 的主引导记录扇区。物理磁盘    未查明的 TSR.BOOT 病毒    无法清除    PC-200809081509\Administrator    

这是NOD32扫到的,老大
丨左手写爱丶 - 2009-1-20 12:04:00
2009-1-20 11:20:21    启动扫描程序    引导区    0 的主引导记录扇区。物理磁盘    未查明的 TSR.BOOT 病毒    无法清除    PC-200809081509\Administrator   
2009-1-19 1:15:02    文件系统实时防护    文件    C:\Documents and Settings\Administrator\桌面\launch.exe.td    Win32/Spy.Agent.PZ 特洛伊木马 的变种    通过删除清除 - 已隔离    NT AUTHORITY\SYSTEM    在被应用程序修改的文件上发生事件: C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe.
2009-1-19 1:09:23    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:21    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:19    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:18    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:16    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:15    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:13    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:11    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:10    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:08    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:06    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:05    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:03    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:01    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:09:00    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:58    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:57    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:55    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:54    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:52    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:51    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:49    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:48    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:46    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:44    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:43    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:41    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:40    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:38    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:08:37    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:07:25    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:07:23    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:07:22    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:07:20    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-19 1:07:18    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离    PC-200809081509\Administrator    通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-18 23:52:34    HTTP 过滤器    文件    http://www.hoho-2.cn/down/gr.exe    可能是 Win32/Genetik 特洛伊木马 的变种    连接中断 - 已隔离        通过应用程序访问 web 时检测到威胁: D:\大外\XYWOnline-4.0.37.exe.
2009-1-18 23:44:05    启动扫描程序    引导区    0 的主引导记录扇区。物理磁盘    未查明的 TSR.BOOT 病毒    无法清除
夲號ヱ被ジ盜 - 2009-1-20 12:05:00
launch.exe.td
这迅雷下载文件
你的那个地址有毒
没事
以阻止
反病毒引擎版本最后更新扫描结果
a-squared4.0.0.732009.01.20Rootkit.Agent!IK
AhnLab-V32009.1.20.12009.01.19-
AntiVir7.9.0.572009.01.19TR/Crypt.XDR.Gen
Authentium5.1.0.42009.01.19W32/OnlineGames.AJ.gen!Eldorado
Avast4.8.1281.02009.01.19-
BitDefender7.22009.01.20Rootkit.Agent.AIWN
CAT-QuickHeal10.002009.01.19(Suspicious) - DNAScan
ClamAV0.94.12009.01.19-
Comodo9372009.01.19-
eSafe7.0.17.02009.01.19Suspicious File
eTrust-Vet31.6.63152009.01.19Win32/SillyDl!generic
F-Prot4.4.4.562009.01.19W32/OnlineGames.AJ.gen!Eldorado
F-Secure8.0.14470.02009.01.20W32/Packed_FSG.D
Fortinet3.117.0.02009.01.15-
GData192009.01.20Rootkit.Agent.AIWN
IkarusT3.1.1.45.02009.01.20Rootkit.Agent
K7AntiVirus7.10.5952009.01.19-
Kaspersky7.0.0.1252009.01.20-
McAfee55002009.01.19Downloader-BLE
McAfee+Artemis55002009.01.19Downloader-BLE
Microsoft1.42052009.01.20TrojanDownloader:Win32/Small.gen!K
NOD3237792009.01.19probably a variant of Win32/Genetik
Norman5.93.012009.01.19W32/Packed_FSG.D
nProtect2009.1.8.02009.01.20-
Panda9.5.1.22009.01.19Suspicious file
PCTools4.4.2.02009.01.19Packed/FSG
Prevx1V22009.01.20-
SecureWeb-Gateway6.7.62009.01.19Trojan.Crypt.XDR.Gen
Sophos4.37.02009.01.20Mal/Behav-024
Sunbelt3.2.1835.22009.01.16Trojan.Win32.Packed.gen (v)
Symantec102009.01.20Trojan Horse
TheHacker6.3.1.5.2242009.01.20-
TrendMicro8.700.0.10042009.01.20TROJ_PACKED.CVW
VBA323.12.8.102009.01.19suspected of Win32.Trojan.Downloader (http://...)
ViRobot2009.1.20.15672009.01.20Dropper.Agent.35597
VirusBuster4.5.11.02009.01.19Packed/FSG
丨左手写爱丶 - 2009-1-20 12:06:00
12,13楼是NOD32的扫描日志。尊敬的各位老大
aaccbbdd - 2009-1-20 12:08:00
是不是局域网?
怎么觉得是ARP欺骗
aaccbbdd - 2009-1-20 12:08:00
应该是误报

360论坛见过求助这个的
丨左手写爱丶 - 2009-1-20 12:11:00
我用的是电信网呀。就是不清楚咋搞的。相当郁闷。第一次碰到杀了又出现的病毒:default8:
丨左手写爱丶 - 2009-1-20 12:13:00
2009-1-20 11:20:21    启动扫描程序    引导区    0 的主引导记录扇区。物理磁盘    未查明的 TSR.BOOT 病毒    无法清除    PC-200809081509\Administrator     
这个是什么意思啊,我看不懂,怎么又什么磁盘扇区了。。。看起来相当恐怖啊。还有那些日志扫到影响了xyw,就是网游大话。貌似相当恐怖啊!
夲號ヱ被ジ盜 - 2009-1-20 12:14:00
自己用这个试试
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
没毒就是误报
aaccbbdd - 2009-1-20 12:14:00
是误报!
aaccbbdd - 2009-1-20 12:14:00
到底是不是局域网?:default3:
丨左手写爱丶 - 2009-1-20 12:16:00
是电信网啊。我用星空极速连接的啊。。。。。。

2009-1-20 11:20:21    启动扫描程序    引导区    0 的主引导记录扇区。物理磁盘    未查明的 TSR.BOOT 病毒    无法清除    PC-200809081509\Administrator     
这个是什么意思啊,我看不懂,怎么又什么磁盘扇区了。。。看起来相当恐怖啊。还有那些日志扫到影响了xyw,就是网游大话。貌似相当恐怖啊!
aaccbbdd - 2009-1-20 12:18:00
几个人用一条宽带?
丨左手写爱丶 - 2009-1-20 12:19:00
我一个人啊  ,家里的啊。1000多一年的。2M的电信宽带啊。。
aaccbbdd - 2009-1-20 12:23:00
C:\WINDOWS\system32\TDispVol.dll
发上来看看

一直不觉得这个是病毒:default10:
丨左手写爱丶 - 2009-1-20 12:27:00
不支持DLL类附件上传
aaccbbdd - 2009-1-20 12:28:00
winrar压缩后上传
丨左手写爱丶 - 2009-1-20 12:31:00

附件: TDispVol.rar (2009-1-20 12:31:21, 13.73 K)
该附件被下载次数 159



引用:
原帖由 aaccbbdd 于 2009-1-20 12:23:00 发表
C:\WINDOWS\system32\TDispVol.dll
发上来看看

一直不觉得这个是病毒:default10: 
aaccbbdd - 2009-1-20 12:37:00
http://www.hoho-2.cn/down
拉到ris的黑名单里
12
查看完整版本: 求助杀不掉的病毒Trojan
© 2000 - 2025 Rising Corp. Ltd.