【原创】sysload3.exe,upxdnd.exe,1.exe病毒手动清除方法

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】sysload3.exe,upxdnd.exe,1.exe病毒手动清除方法

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4 5 6

1 / 6 页

跳转页

【原创】sysload3.exe,upxdnd.exe,1.exe病毒手动清除方法

枫笑九洲强壮不惑狮帖子:881 注册: 2007-03-19 来自:	发表于： 2007-04-01 16:08 \| 只看楼主短消息资料字号：小中大 1楼【原创】sysload3.exe,upxdnd.exe,1.exe病毒手动清除方法以下项目如果存在的话：在sreng里的启动项里删 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\crasos.exe> [N/A] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\c0nime.exe> [N/A] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\rundl132.exe> [N/A] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\winlog0n.exe> [N/A] <sysload><C:\windows\system32\sysload3.exe> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A] <cmdbcs><C:\DOCUME~1\用户名\LOCALS~1\Temp\cmdbcs.exe> [N/A] <sysload><C:\windows\system32\sysload3.exe> [N/A] ========================================================================================== 打开冰刃,进程,中止以下进程, iexplore.exe sysload3.exe 上面启动项里的exe文件如果在进程中的话,中止 ========================================================================================== 右键单击explorer-->模块信息,强行解除以下文件 lgsy0.dll rav20.dll gjzo0.dll msxo0.dll upxdnd.dll ========================================================================================== 在sreng里,系统修复-->host文件-->重置 ========================================================================================== 好了,现在基本上大局己定了,收尾工作开始进入C:\DOCUME~1\用户名\LOCALS~1\Temp目录,删以下文件: c0nime.exe crasos.exe gjzo0.dll iexpl0re.exe lgsy0.dll lgsy1.dll msxo0.dll rav20.dll (这个绝,居然伪装成瑞星文件) rundl132.exe upxdnd.exe upxdnd.dll winlog0n.exe PS:上面8个全靠sysload3.exe释放, ========================================================================================== 进入windows目录删cmdbcs.exe ========================================================================================== 进入system目录,删以下文件: 1.exe一直到7.exe cmdbcs.dll sysload3.exe ========================================================================================== 清空临时文件夹里面的所有东西，包括 C:\Documents and Settings\<用户名>\Local Settings\Temp C:\WINDOWS\TEMP Internet临时文件夹（控制面板--〉“Internet选项”---〉“删除文件”---〉勾选“包括临时文件夹”--〉确定） ========================================================================================== PS:下面这个是病毒配置文件清单,对应中毒者system32目录下的1.exe~7.exe [config] Version=1.0.6 NUM=7 1=http://61.153.247.76/cald/01.gif 2=http://61.153.247.76/cald/02.gif 3=http://61.153.247.76/cald/03.gif 4=http://61.153.247.76/cald/04.gif 5=http://61.153.247.75/cald/05.gif 6=http://61.153.247.75/cald/06.gif 7=http://61.153.247.75/cald/07.gif hos=http://if.iloveck.com/test/hos.gif UpdateMe=http://a.2007ip.com/5949645046.exe (居然还有自动升级程序,汗) tongji=http://if.iloveck.com/test/tongji.htm 更绝的是它会自动检测软驱,并且自我复制到软驱中至于感染exe文件,我还没有发现,呵呵, 2007-04-02 11:38:01
枫笑九洲强壮不惑狮帖子:881 注册: 2007-03-19 来自:	分享到：

枫笑九洲强壮不惑狮帖子:881 注册: 2007-03-19 来自:	发表于： 2007-04-01 16:11 \| 只看楼主短消息资料字号：小中大 2楼近期好多人中这个毒, 望置顶
枫笑九洲强壮不惑狮帖子:881 注册: 2007-03-19 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-04-01 16:12 \| 短消息资料字号：小中大 3楼这个病毒主要是感染文件呵呵
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-04-01 16:12 \| 短消息资料字号：小中大 4楼类似威金或者熊猫不光感染文件还下载木马
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

强壮不惑狮

帖子:881
注册: 2007-03-19
来自:

发表于： 2007-04-01 16:13 | 只看楼主 短消息资料

字号：小中大 5楼

引用:

【newcenturymoon的贴子】这个病毒主要是感染文件呵呵
………………

有什么症状没?

我exe文件,html文件,bat文件全试了一遍,没感染的现象发生呀,

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-04-01 16:14 \| 短消息资料字号：小中大 6楼如果要有其他分区应该可以发现虚拟机里好像只有一个分区不好发现
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

强壮不惑狮

帖子:881
注册: 2007-03-19
来自:

发表于： 2007-04-01 16:20 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【newcenturymoon的贴子】如果要有其他分区应该可以发现虚拟机里好像只有一个分区不好发现
………………

呵呵,我虚拟机中确实只有一个分区

PS:如果真这样,大家都跟我学吧,买个160G硬盘,不分区,就一个区用,呵呵,

emptyzero 初生襁褓狮帖子:9 注册: 2007-04-01 来自:	发表于： 2007-04-01 16:29 \| 短消息资料字号：小中大 8楼此病毒会感染除系统盘外的所有EXE文件这是染毒后程序上传扫描的截图附件: 文件名:860802200741162008.jpg 下载次数:462 文件类型:image/pjpeg 文件大小: 上传时间:2007-4-1 16:29:49 描述:
emptyzero 初生襁褓狮帖子:9 注册: 2007-04-01 来自:

emptyzero 初生襁褓狮帖子:9 注册: 2007-04-01 来自:	发表于： 2007-04-01 16:31 \| 短消息资料字号：小中大 9楼而且一点染毒的程序，染毒程序就会写注册表RUN项并启动IE和NOTEPAD，如果我让他启动的话，IE和记事本的界面也不会出现，但进程里能发现这两个进程我想他启动IE是要从网络下载病毒，不过我删除了HOST文件后就不能下载了，所以没什么反应，但不知道为什么要启动记事本
emptyzero 初生襁褓狮帖子:9 注册: 2007-04-01 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-04-01 16:35 \| 短消息资料字号：小中大 10楼启动记事本是为了感染文件
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

<<上一主题|下一主题>>

12 3 4 5 6

1 / 6 页

跳转页

枫笑九洲强壮不惑狮帖子:881 注册: 2007-03-19 来自:	发表于： 2007-04-01 16:08 \| 只看楼主短消息资料字号：小中大 1楼【原创】sysload3.exe,upxdnd.exe,1.exe病毒手动清除方法以下项目如果存在的话：在sreng里的启动项里删 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\crasos.exe> [N/A] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\c0nime.exe> [N/A] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\rundl132.exe> [N/A] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\winlog0n.exe> [N/A] <sysload><C:\windows\system32\sysload3.exe> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A] <cmdbcs><C:\DOCUME~1\用户名\LOCALS~1\Temp\cmdbcs.exe> [N/A] <sysload><C:\windows\system32\sysload3.exe> [N/A] ========================================================================================== 打开冰刃,进程,中止以下进程, iexplore.exe sysload3.exe 上面启动项里的exe文件如果在进程中的话,中止 ========================================================================================== 右键单击explorer-->模块信息,强行解除以下文件 lgsy0.dll rav20.dll gjzo0.dll msxo0.dll upxdnd.dll ========================================================================================== 在sreng里,系统修复-->host文件-->重置 ========================================================================================== 好了,现在基本上大局己定了,收尾工作开始进入C:\DOCUME~1\用户名\LOCALS~1\Temp目录,删以下文件: c0nime.exe crasos.exe gjzo0.dll iexpl0re.exe lgsy0.dll lgsy1.dll msxo0.dll rav20.dll (这个绝,居然伪装成瑞星文件) rundl132.exe upxdnd.exe upxdnd.dll winlog0n.exe PS:上面8个全靠sysload3.exe释放, ========================================================================================== 进入windows目录删cmdbcs.exe ========================================================================================== 进入system目录,删以下文件: 1.exe一直到7.exe cmdbcs.dll sysload3.exe ========================================================================================== 清空临时文件夹里面的所有东西，包括 C:\Documents and Settings\<用户名>\Local Settings\Temp C:\WINDOWS\TEMP Internet临时文件夹（控制面板--〉“Internet选项”---〉“删除文件”---〉勾选“包括临时文件夹”--〉确定） ========================================================================================== PS:下面这个是病毒配置文件清单,对应中毒者system32目录下的1.exe~7.exe [config] Version=1.0.6 NUM=7 1=http://61.153.247.76/cald/01.gif 2=http://61.153.247.76/cald/02.gif 3=http://61.153.247.76/cald/03.gif 4=http://61.153.247.76/cald/04.gif 5=http://61.153.247.75/cald/05.gif 6=http://61.153.247.75/cald/06.gif 7=http://61.153.247.75/cald/07.gif hos=http://if.iloveck.com/test/hos.gif UpdateMe=http://a.2007ip.com/5949645046.exe (居然还有自动升级程序,汗) tongji=http://if.iloveck.com/test/tongji.htm 更绝的是它会自动检测软驱,并且自我复制到软驱中至于感染exe文件,我还没有发现,呵呵, 2007-04-02 11:38:01
枫笑九洲强壮不惑狮帖子:881 注册: 2007-03-19 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】sysload3.exe,upxdnd.exe,1.exe病毒手动清除方法

【原创】sysload3.exe,upxdnd.exe,1.exe病毒手动清除方法

【原创】sysload3.exe,upxdnd.exe,1.exe病毒手动清除方法

附件:

文件名:860802200741162008.jpg 下载次数:462 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(957642); 上传时间:2007-4-1 16:29:49 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【原创】sysload3.exe,upxdnd.exe,1.exe病毒手动清除方法

文件名:860802200741162008.jpg

下载次数:462

文件类型:image/pjpeg

文件大小:

上传时间:2007-4-1 16:29:49

描述: