【转帖】解决upxdnd.exe,cmdbcs.exe,mppds.exe,msccrt.exe等木马的办法
[color=darkgreen]【转帖】解决upxdnd.exe,cmdbcs.exe,mppds.exe,msccrt.exe等木马的办法[/color][size=3][color=darkgreen]近来这些病毒upxdnd.exe,cmdbcs.exe,mppds.exe,msccrt.exe比较猖狂,已有多位会员中招,在首页修复之家处理了很多相关的报告.现在发表一些案例的解决办法供大家参考,我在这里作一点小结注意:以下案例的解决办法都是得到会员反馈已经成功清除病毒的案例.
症状:中毒者游戏或者QQ帐号,密码被盗
解决办法:
案例1:
在安全模式下操作
用sreng-点启动项目-点注册表: 将以下项的启动删除:
<rz><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<ROST><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update4.exe> []
<BBOB><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update8.exe> []
<{A6011F8F-A7F8-49AA-9ADA-49127D43138F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk> []
用sreng-点启动项目-点注册表-点编辑:将以下项的启动中的红色字体内容删除:
<AppInit_DLLs><49400M.BMP> []
安全模式下用置顶贴的powerRMV或冰刃删除
C:\WINDOWS\49400M.BMP
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\cmdbcs.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe
C:\WINDOWS\49400M.BMP
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update4.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update8.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk
删除c:\windows\system32\drivers\etc\hosts文件
案例2:
在安全模式下操作:
用置顶贴的powerRMV或冰刃删除
C:\WINDOWS\SYSTEM32\cryptchr.dll
C:\WINDOWS\system32\drivers\npf.sys
用sreng-点启动项目-点服务-点驱动程序:把以下驱动删除:
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
<system32\drivers\npf.sys><Politecnico di Torino>
用sreng-点启动项目-点注册表-点编辑:将以下项的启动中的红色字体内容删除:
<WinlogonNotify: RegMon32><cryptchr.dll> [N/A]
案例3在安全模式下操作
用sreng-点启动项目-点注册表: 将以下项的启动删除:
<0f2qmqjr6ry07d><C:\DOCUME~1\lp\LOCALS~1\Temp\iexpl0re.exe> []
<jmsukx5t3y9c4wj><C:\DOCUME~1\lp\LOCALS~1\Temp\crasos.exe> []
<fbj2vx6v><C:\DOCUME~1\lp\LOCALS~1\Temp\c0nime.exe> []
<1r2j2sdc0><C:\DOCUME~1\lp\LOCALS~1\Temp\rundl132.exe> []
<jy4bbt6u5y3d><C:\DOCUME~1\lp\LOCALS~1\Temp\winlog0n.exe> []
<upxdnd><C:\DOCUME~1\lp\LOCALS~1\Temp\upxdnd.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
用置顶贴的powerRMV或冰刃删除
C:\WINDOWS\cmdbcs.exe
C:\DOCUME~1\lp\LOCALS~1\Temp\winlog0n.exe
C:\DOCUME~1\lp\LOCALS~1\Temp\rundl132.exe
C:\DOCUME~1\lp\LOCALS~1\Temp\c0nime.exe
C:\DOCUME~1\lp\LOCALS~1\Temp\crasos.exe
C:\DOCUME~1\lp\LOCALS~1\Temp\iexpl0re.exe
C:\DOCUME~1\lp\LOCALS~1\Temp\upxdnd.exe
C:\DOCUME~1\lp\LOCALS~1\Temp\LgSy2.dll
C:\DOCUME~1\lp\LOCALS~1\Temp\Msxo1.dll
C:\DOCUME~1\lp\LOCALS~1\Temp\Gjzo1.dll
C:\DOCUME~1\lp\LOCALS~1\Temp\Rav21.dll
C:\DOCUME~1\lp\LOCALS~1\Temp\LgSy3.dll
案例4用sreng-点启动项目-点注册表: 将以下项的启动删除:
<l8rxb3r9ux><C:\DOCUME~1\amw\LOCALS~1\Temp\iexpl0re.exe> []
<2kv3iqfd1c9isu2><C:\DOCUME~1\amw\LOCALS~1\Temp\crasos.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
安全模式下用置顶贴的powerRMV或冰刃删除
C:\DOCUME~1\amw\LOCALS~1\Temp\iexpl0re.exe
C:\DOCUME~1\amw\LOCALS~1\Temp\crasos.exe
C:\DOCUME~1\amw\LOCALS~1\Temp\LgSy5.dll
C:\DOCUME~1\amw\LOCALS~1\Temp\Msxo3.dll
C:\DOCUME~1\amw\LOCALS~1\Temp\Gjzo3.dll
C:\DOCUME~1\amw\LOCALS~1\Temp\Rav22.dll
C:\DOCUME~1\amw\LOCALS~1\Temp\LgSy6.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\cmdbcs.exe
C:\DOCUME~1\amw\LOCALS~1\Temp\LgSy4.dll
C:\DOCUME~1\amw\LOCALS~1\Temp\Rav21.dll
C:\DOCUME~1\amw\LOCALS~1\Temp\Gjzo2.dll
C:\DOCUME~1\amw\LOCALS~1\Temp\Msxo2.dll
C:\DOCUME~1\amw\LOCALS~1\Temp\LgSy3.dll
删除c:\windows\system32\drivers\etc\hosts
案例5在安全模式下操作
用sreng-点启动项目-点服务-点win32服务应用程序:将以下项删除:
[B42EFF22 / B42EFF22][Stopped/Auto Start]
<C:\WINDOWS\system32\B42EFF22.EXE -service><Microsoft Corporation>
[F238F30A / F238F30A][Stopped/Auto Start]
<C:\WINDOWS\system32\F238F30A.EXE -service><Microsoft Corporation>
用sreng-点启动项目-点服务-点驱动程序:把以下驱动删除:(如果删不掉,就设置启动类型为disabled!)
[995875 / 995875][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\995859.sys><N/A>
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
<system32\DRIVERS\npf.sys><CACE Technologies>
[qhqind / qhqind][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\qhqind.sys><N/A>
用sreng-点启动项目-点注册表: 将以下项的启动删除:
<w75e4bjsdvg><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> []
<9cbf65y034mkx2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe> []
<66><C:\SysDayN6\svchost.exe> []
<4><C:\SysWsj7\svchost.exe> []
<333><C:\Syswm1i\svchost.exe> []
<winform><C:\WINDOWS\winform.exe> []
安全模式下用置顶贴的powerRMV或冰刃删除
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe
C:\WINDOWS\system32\B42EFF22.DLL
C:\WINDOWS\system32\B42EFF22.EXE
C:\WINDOWS\system32\F238F30A.DLL
C:\WINDOWS\system32\F238F30A.EXE
C:\WINDOWS\system32\AB1767F4.exe
C:\WINDOWS\system32\AB1767F4.DLL
C:\WINDOWS\system32\9B1C4A4B.exe
C:\WINDOWS\system32\9B1C4A4B.dll
C:\WINDOWS\norton.exe
C:\WINDOWS\system32\norton.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\cmdbcs.exe
C:\PROGRA~1\WINDOW~2\wmpband.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\msccrt.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll
C:\Syswm1i文件夹
C:\SysWsj7文件夹
C:\SysDayN6文件夹
对这类病毒作个简单的总结:1.这类病毒始终出现在临时文件夹中,要注意清空临时文件夹.
2.此病毒具有一定的感染性,如果病毒文件没删除干净很容易复发
3.此病毒要修改HOST文件,屏蔽一些网址.
最后说一句:良好的上网习惯才是王道.[/color][/size]
页:
[1]