最近很多人中了木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等 这个应该是通过木马下载器下载所致 这些基本上都是些盗号
木马一般sreng日志表现如下
启动项目里 (不一定全)
<wsttrs><C:\windows\wsttrs.exe> [Microsoft Corporation]
<svc><C:\DOCUME~1\用户名\LOCALS~1\Temp\byetmr.exe> [Microsoft Corporation]
<g1q><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> []
<upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [Microsoft Corporation]
<winform><C:\WINDOWS\winform.exe> [N/A]
<ravshell><C:\WINDOWS\system32\SVCH0ST.exe> []
<upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> [N/A]
<mppds><C:\WINDOWS\mppds.exe> [N/A]
<nortonq><C:\WINDOWS\nortonq.exe> []
<System><C:\Program Files\Common Files\System\Updaterun.exe> [N/A]
<5cl3v><C:\DOCUME~1\用户名\LOCALS~1\Temp\servicer.exe> []
<mppdys><C:\WINDOWS\mppdys.exe> []
<mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<wgs3><C:\WINDOWS\wgs3.exe> []
<wms3><C:\WINDOWS\wms3.exe> []
<twin><C:\WINDOWS\system32\twunk32.exe> []
<wsttrs><rem c:\windows\wsttrs.exe> []
<wsdttrs><C:\WINDOWS\wsdttrs.exe> []
<dcoh><C:\WINDOWS\dcoh.exe> []
<upxdnd><C:\Windows\Temp\upxdnd.exe> [N/A]
另外
C:\WINDOWS\mppds.exe
C:\WINDOWS\winform.exe
c:\windows\wsttrs.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\wsdttrs.exe
C:\WINDOWS\nortonq.exe
C:\WINDOWS\dcoh.exe等病毒每个会释放一个dll 插入explorer等进程
解决办法
如果在进程里看见了类似情况
请按照以下步骤操作
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目 (有哪个删哪个)
<wsttrs><C:\windows\wsttrs.exe> [Microsoft Corporation]
<winform><C:\WINDOWS\winform.exe> [N/A]
<ravshell><C:\WINDOWS\system32\SVCH0ST.exe> [](注意中间是数字0,不是字母O)
<cmdbcs><C:\WINDOWS\cmdbcs.exe> [N/A]
<mppds><C:\WINDOWS\mppds.exe> [N/A]
<nortonq><C:\WINDOWS\nortonq.exe> []
<System><C:\Program Files\Common Files\System\Updaterun.exe> [N/A]
<mppdys><C:\WINDOWS\mppdys.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<wgs3><C:\WINDOWS\wgs3.exe> []
<wms3><C:\WINDOWS\wms3.exe> []
<twin><C:\WINDOWS\system32\twunk32.exe> []
<wsttrs><rem c:\windows\wsttrs.exe> []
<wsdttrs><C:\WINDOWS\wsdttrs.exe> []
<dcoh><C:\WINDOWS\dcoh.exe> []
<upxdnd><C:\Windows\Temp\upxdnd.exe> [N/A]
以及所有的Temp文件夹下的文件建立的启动项目(即类似<5cl3v><C:\DOCUME~1\用户名\LOCALS~1\Temp\servicer.exe> []的项目)
然后
删除上述对应文件
和C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\wsdttrs.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\mppdys.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\nortonq.dll
C:\WINDOWS\system32\dcoh.dll
4.4更新<upxdnd><C:\Windows\Temp\upxdnd.exe> [N/A]
4.5更新<dcoh><C:\WINDOWS\dcoh.exe> []
清空临时文件夹 即C:\Documents and Settings\用户名\Local Settings\Temp
和C:\Windows\Temp
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe
如果哪位网友有发现新情况可以和我交流 我会及时补充
另:添加几个最近流行病毒的解决办法
1 一个不断使电脑发出“当”或者“咚”的声音的病毒
解决方案:
重启计算机进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
TomDemoService / TomDemoService
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
C:\config.exe
2.SysLoad3.exe (Worm.DlOnlineGames)
提供专杀
一个是江民官方的 一个是非官方的
江民官方的专杀
http://download.jiangmin.info/jmsoft/ANIWormKiller.exe
非官方水木社区网友coding的专杀
作者提供的下载地址:
http://mumayi1.999kb.com/pic/2007-04-02/pdhk3he7cb5q1y4sg0bf.rar
注意:空间不支持exe格式,请下载后把后缀由rar改成exe
用以修复被感染的exe文件
3.调用cmd.exe狂占系统资源的病毒
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Windows SystemDown / WindowsDown
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除C:\WINDOWS\system32\servet.exe
[推荐]关于木马群upxdnd,cmdbcs(Trojan.PSW.OnlineGames)4.5更新
您现在的位置: