【原创】关于近期1.exe、comfsg、wsttrs、msccrt、upxdnd清除方案 bbs.ikaka.com

枫笑九洲 - 2007-4-1 3:22:00

运行sreng，
在启动项目中，删除1、ROST、cmdbcs、mppds、msccrt、upxdnd、wsttrs、还有一串随机字母+数字的名字，数据指向c:\docume~1\用户名\temp\rundl132.exe
然后运行冰刃
点进程-->在explorer上单击右键选模块信息强制解除如下项
winform.dll
Rav20.dll
upxdnd.dll
wsttrs.dll
cmdbcs.dll
mppds.dll
msccrt.dll
在结束过程中,冰刃可能会提示出错,没关系，我们重开冰刃
结束1.exe,wsttrs.exe,winform.exe,comfsg.exe 退出
进入windows目录删以下文件：
c:\windows\winform.exe
进入c:\windows\system32目录删以下文件:
comfsg.exe
cmdbcs.exe
mppds.exe
msccrt.exe
wsttrs.exe
cmdbcs.dll
mppds.dll
msccrt.dll
wsttrs.dll
进入c:\docume~1\用户名\locals~1\temp目录删以下文件:
upxdnd.dll
upxdnd.exe
rundl132.exe
rav20.dll
最后，别忘了清下临时文件夹

PS：这毒怎么忘了添加服务和驱动，

独自等待中 - 2007-4-1 3:53:00

试试,我已经被折腾的受不了了,谢谢了!

小凯abc - 2007-4-1 5:57:00

我已按照楼主说的试过了,搞定~ 非常感谢~
顶上~

独自等待中 - 2007-4-1 5:57:00

已经OK了,瑞星也恢复正常,我建议删除的文件时候用下搜索功能,把名字相同,创建日期相同的都删掉,另外建议在防火墙黑名单中添加:http://www.heixiou.com/,MS是个送毒的.IP地址我已经不敢试了,想找的自己弄吧!非常感谢楼主!

我是来来 - 2007-4-1 7:59:00

Ding

枫笑九洲 - 2007-4-1 9:04:00

引用:

【独自等待中的贴子】已经OK了,瑞星也恢复正常,我建议删除的文件时候用下搜索功能,把名字相同,创建日期相同的都删掉,另外建议在防火墙黑名单中添加:http://www.heixiou.com/,MS是个送毒的.IP地址我已经不敢试了,想找的自己弄吧!非常感谢楼主!
………………

我感觉这几个可能不是毒,没感到他有什么危害,呵呵,可能又是一款流氓软件

孤独天马 - 2007-4-1 9:53:00

用360啊

jmbt - 2007-4-1 10:09:00

学习

yqlikaka - 2007-4-1 10:18:00

这样的帖才要顶

linbingsi - 2007-4-1 10:25:00

那个upxdnd.exe 病毒，它会感染硬盘里的.exe文件吧，我自己这里就是已经被感染了，一运行被感染的文件，进程中就会多出两个iexplore.exe和一个notepad.exe，临时文件夹下会多出这些文件，大家还是要多加小心啊，每运行一次.exe就要手动杀次毒，不过运行过的.exe就恢复正常了，不知道为什么。

附件: 859933200741101542.bmp

linjoe - 2007-4-1 10:32:00

我都被弄得要死，被下了木马一大堆，瑞星都杀不到，换了咔吧，一切搞定！！！

linjoe - 2007-4-1 10:33:00

我也被折腾得要死，被下了一大堆木马，瑞星都杀不到，换了咔吧一切搞定！！！

QQwang - 2007-4-1 12:04:00

按照楼主的方法做了可是重启动后一上网又是一堆木马冒出来

枫笑九洲 - 2007-4-1 12:41:00

引用:

【QQwang的贴子】按照楼主的方法做了可是重启动后一上网又是一堆木马冒出来
………………

能把你认为是病毒的文件发给我吗?

qgnck1999@163.com

昨晚别人就发了这几个给我，我也就只分析了这几个，呵呵，可能还有别的毒吧，

newcenturymoon - 2007-4-1 12:44:00

引用:

【linbingsi的贴子】那个upxdnd.exe 病毒，它会感染硬盘里的.exe文件吧，我自己这里就是已经被感染了，一运行被感染的文件，进程中就会多出两个iexplore.exe和一个notepad.exe，临时文件夹下会多出这些文件，大家还是要多加小心啊，每运行一次.exe就要手动杀次毒，不过运行过的.exe就恢复正常了，不知道为什么。
………………

那个sysload3.exe 会感染文件的

newcenturymoon - 2007-4-1 12:44:00

引用:

那个sysload3.exe 会感染文件的

枫笑九洲 - 2007-4-1 12:58:00

引用:

【newcenturymoon的贴子】
那个sysload3.exe 会感染文件的
………………

sysload3.exe 这个毒我没碰到

sunpenny - 2007-4-1 13:00:00

怎样完全删除sysload3.exe?难道要把所有.EXE文件都删了?

sunpenny - 2007-4-1 13:03:00

我发现只要不联网,瑞星就可以防止SYSLOAD3.EXE修改注册表
只要一联网,瑞星监控就会被关闭

ekiner - 2007-4-1 13:20:00

能告诉我这个病毒叫什么吗我也中了这个

枫笑九洲 - 2007-4-1 13:24:00

引用:

【sunpenny的贴子】我发现只要不联网,瑞星就可以防止SYSLOAD3.EXE修改注册表
只要一联网,瑞星监控就会被关闭
………………

SYSLOAD3.EXE 能把这个发我邮箱吗?qgnck1999@163.com

ekiner - 2007-4-1 13:26:00

这个病毒能教我怎么杀么我也中了这个。。

sunpenny - 2007-4-1 14:14:00

引用:

【ekiner的贴子】能告诉我这个病毒叫什么吗我也中了这个
………………

等我病毒发作了再发给你吧,现在暂时还没有发作

spiritfire - 2007-4-1 14:16:00

随机性很大，根据SREng日志具体问题具体分析！

姑苏残月 - 2007-4-1 14:18:00

飘过,当没看见这帖子

圣骑士文 - 2007-4-1 16:49:00

今天我进入安全模式后用sreng2把楼主上面所说的都删了(之前我没看楼主的文章,我之所以删那些是因为我用360查出来的木马名字和上面的一模一样).然后再用瑞星杀毒(未更新到最新),杀完后再正常登入系统,升级了瑞星,再杀一下内存就OK了,现在查不出木马了,sreng2里面的启动-注册表里也没有楼主所说的要删除的项目了.呵呵,谢谢楼主的分享哦!

sunpenny - 2007-4-1 17:49:00

给瑞星升级到了最新,病毒总算是杀掉了,但双击.EXE文件还是会有sysload3.exe生成,不过其他.DLL文件可以被瑞星查到并清除
高手们,怎么样才能让SYSLOAD3.EXE文件不再生成?总不能把所有.EXE文件都删了吧

sunpenny - 2007-4-1 18:00:00

顶一下

独自等待中 - 2007-4-2 1:46:00

我的瑞星是正常了,但是还是会产生*(数字).exe的文件,只能手动删除,快受不了了!最后删除的是个16.exe.exe,要不是因为两个exe我还不知道又帽出来了.(因为两个扩展名运行系统会提示)到底是什么东西啊!用咔吧能搞掉??

瑞星卡卡安全论坛