木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe手工杀毒方法

最新推荐文章于 2024-09-05 19:25:59 发布
最新推荐文章于 2024-09-05 19:25:59 发布
阅读量4.4k 收藏
点赞数
分类专栏: 电脑病毒 文章标签: microsoft c exe 工具 微软 windows
最近很多人中了木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等 这个应该是通过木马下载器下载所致 这些基本上都是些盗号木马
一般sreng日志表现如下
启动项目里 (不一定全)
<wsttrs><C:/windows/wsttrs.exe> [Microsoft Corporation]
<svc><C:/DOCUME~1/用户名/LOCALS~1/Temp/byetmr.exe> [Microsoft Corporation]
<g1q><C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/rundl132.exe> []
<upxdnd><C:/DOCUME~1/用户名/LOCALS~1/Temp/upxdnd.exe> [Microsoft Corporation]
<winform><C:/WINDOWS/winform.exe> [N/A]
<ravshell><C:/WINDOWS/system32/SVCH0ST.exe> []
<upxdnd><C:/DOCUME~1/用户名/LOCALS~1/Temp/upxdnd.exe> [N/A]
<cmdbcs><C:/WINDOWS/cmdbcs.exe> [N/A]
<mppds><C:/WINDOWS/mppds.exe> [N/A]
<nortonq><C:/WINDOWS/nortonq.exe> []
<System><C:/Program Files/Common Files/System/Updaterun.exe> [N/A]
<5cl3v><C:/DOCUME~1/用户名/LOCALS~1/Temp/servicer.exe> []
<mppdys><C:/WINDOWS/mppdys.exe> []
<mhsa><C:/DOCUME~1/用户名/LOCALS~1/Temp/mhso.exe> []
<msccrt><C:/WINDOWS/msccrt.exe> []
<wgs3><C:/WINDOWS/wgs3.exe> []
<wms3><C:/WINDOWS/wms3.exe> []
<twin><C:/WINDOWS/system32/twunk32.exe> []
<wsttrs><rem c:/windows/wsttrs.exe> []
<wsdttrs><C:/WINDOWS/wsdttrs.exe> []
<dcoh><C:/WINDOWS/dcoh.exe> []
<upxdnd><C:/Windows/Temp/upxdnd.exe> [N/A]
另外
C:/WINDOWS/mppds.exe
C:/WINDOWS/winform.exe
c:/windows/wsttrs.exe
C:/WINDOWS/cmdbcs.exe
C:/WINDOWS/msccrt.exe
C:/WINDOWS/wsdttrs.exe
C:/WINDOWS/nortonq.exe
C:/WINDOWS/dcoh.exe等病毒每个会释放一个dll 插入explorer等进程

解决办法
如果在进程里看见了类似情况
请按照以下步骤操作

安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng
启动项目 注册表 删除如下项目 (有哪个删哪个)
<wsttrs><C:/windows/wsttrs.exe> [Microsoft Corporation]
<winform><C:/WINDOWS/winform.exe> [N/A]
<ravshell><C:/WINDOWS/system32/SVCH0ST.exe> [](注意中间是数字0,不是字母O)
<cmdbcs><C:/WINDOWS/cmdbcs.exe> [N/A]
<mppds><C:/WINDOWS/mppds.exe> [N/A]
<nortonq><C:/WINDOWS/nortonq.exe> []
<System><C:/Program Files/Common Files/System/Updaterun.exe> [N/A]
<mppdys><C:/WINDOWS/mppdys.exe> []
<msccrt><C:/WINDOWS/msccrt.exe> []
<wgs3><C:/WINDOWS/wgs3.exe> []
<wms3><C:/WINDOWS/wms3.exe> []
<twin><C:/WINDOWS/system32/twunk32.exe> []
<wsttrs><rem c:/windows/wsttrs.exe> []
<wsdttrs><C:/WINDOWS/wsdttrs.exe> []
<dcoh><C:/WINDOWS/dcoh.exe> []
<upxdnd><C:/Windows/Temp/upxdnd.exe> [N/A]

以及所有的Temp文件夹下的文件建立的启动项目(即类似<5cl3v><C:/DOCUME~1/用户名/LOCALS~1/Temp/servicer.exe> []的项目)
然后
删除上述对应文件
和C:/WINDOWS/system32/wsttrs.dll
C:/WINDOWS/system32/wsdttrs.dll
C:/WINDOWS/system32/winform.dll
C:/WINDOWS/system32/cmdbcs.dll
C:/WINDOWS/system32/mppds.dll
C:/WINDOWS/system32/mppdys.dll
C:/WINDOWS/system32/msccrt.dll
C:/WINDOWS/system32/wsttrs.dll
C:/WINDOWS/system32/nortonq.dll
C:/WINDOWS/system32/dcoh.dll

4.4更新<upxdnd><C:/Windows/Temp/upxdnd.exe> [N/A]
4.5更新<dcoh><C:/WINDOWS/dcoh.exe> []

清空临时文件夹 即C:/Documents and Settings/用户名/Local Settings/Temp
和C:/Windows/Temp
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe
如果哪位网友有发现新情况可以和我交流 我会及时补充

另:添加几个最近流行病毒的解决办法
1 一个不断使电脑发出“当”或者“咚”的声音的病毒
解决方案:

重启计算机进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
TomDemoService / TomDemoService
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
C:/config.exe

2.SysLoad3.exe (Worm.DlOnlineGames)
提供专杀
一个是江民官方的 一个是非官方的
江民官方的专杀
http://download.jiangmin.info/jmsoft/ANIWormKiller.exe

非官方水木社区网友coding的专杀
作者提供的下载地址:
http://mumayi1.999kb.com/pic/2007-04-02/pdhk3he7cb5q1y4sg0bf.rar
注意:空间不支持exe格式,请下载后把后缀由rar改成exe

用以修复被感染的exe文件

3.调用cmd.exe狂占系统资源的病毒

安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Windows SystemDown / WindowsDown

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除C:/WINDOWS/system32/servet.exe
 
飘的梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
查杀winlog0a.exe
weixin_34341229的博客
03-14 93
今天发现进程里多了一个winlog0a.exe,以前是没有过的,就算有也不是这个,但是今天的却是一个winlog0a.exe,不用说,明显就是一个病毒,下一步就是杀毒程序了。 关于winlog0a.exe,也不知道是一个什么的病毒。在电脑里也没发现其他怪象,也没有不正常,就是心里看着有点不舒服,下面给出一套杀毒方法。 第一步,用杀毒软件全盘扫描后,没有发现病毒的影子,然而...
trs常见问题
张无忌_蜘蛛侠的博客
09-13 2679
trs常见问题
开机不显示桌面无图标及任务栏的病毒杀除
weixin_33933118的博客
04-12 219
开机不显示桌面无图标及任务栏的病毒杀除1,ctrl-Alt-Del调出任务管理器,如发现有如下进程,则可使用该方法. wssttrs.exe msccrt.exe mppds.exe winform.exe cmdbcs.exe 2,中止wssttrs.exe的进程,则可以出现桌面; 3,新建txt文档,并且把如下指令粘贴到文档里; (前提是Windows在c:) attri...
最近流行的一些木马的查杀方法
海蓝之家
10-11 3403
                                          (发在卡卡的一个帖子转到这里来,方便大家查阅) 最近通过木马下载器下载的木马日益猖獗,写过一些分析,但比较零散,现在总结一下最近流行的一些木马
发现cmdbcs.exe,upxdnd.exe,SSLDyn.exe…爱莫能助
Purpleendurer@CSDN
12-29 1011
发现cmdbcs.exe,upxdnd.exe,SSLDyn.exe…爱莫能助——值得讨论的安全观endurer 原创2007-12-26 第1版   刚才一位网友说她电脑中的瑞星实时监控小伞不见了,瑞星杀毒软件的快捷方式图标变成RAR文档形式,电脑反应速度很慢,手动打开瑞星实时监控并升级,在瑞星升级程序校验文件的过程中,瑞星实时监控小伞又不见了……   让她打开任务管理器,切
Cheburgen.a cmdbcs.exe cmdbcs.dll专杀
weixin_33969116的博客
09-15 108
原文地址:[url]http://secure.itdigger.com/2007[/url]\09\14/11524815.htmVirus.Win32.Cheburgen.a(cmdbcs.exe/cmdbcs.dll)解决方案 一、病毒描述: ***运行后拷贝自身到系统目录,添加开机启动项,连接IRC服务器接受***指令。 二、病毒基本情况: ...
手动解决terebmi.exe,xywrebh.exe
xiaofrag的专栏
06-11 2571
老婆机器中毒了,给她写的手动杀毒方法,杀这种毒都有模式了。但是网上的手解决方案总是不凑效。两天了,不知道专杀出来没有。还是贴上来。这个病毒麻烦了点。按照宝宝说的做哦:1:断网2:开始--运行--msconfig--启动 除去ctfmon.exe外所有的启动项。开SREng.exe--启动项目--注册表 除去ctmon.exe外所有项(若该软件不能运行改文件名再运行)3:开始--运行--
一个比较难杀的木马下载器 kndncso.exe jvxnypf.exe cmdbcs.exe lRAVWL.EXE
飘的梦客厅
05-18 2761
这是一个比较难杀的木马下载器。可通过移动存贮介质传播。作者:baohe来源于:http://forum.ikaka.com/topic.asp?board=28&artid=8310697一、中毒后的SRENG日志:(注:中此毒后,SRENG须改名运行。原因见后述。)启动项目注册表[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVer
桌面图标不显示解决方法.pdf
06-10
6. 运行“查看自启动程序.exe”(该软件见本贴底端的地址的附件),从里面找到 cmdbcs.exewinform.exe、mppds.exewsttrs.exemsccrt.exe 等很明显是病毒的启动项,删之。(★专门提示:万万不要删除正常的 ...
AppInit_DLLs被劫持与解析
testalllife的专栏
03-02 6784
AppInit, DLLs, 解析AppInit_DLLs被劫持及kv*.dll木马appinit_dlls是什么?appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ,appinit_dlls是不是病毒呢?注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_L
逆向病毒nvmini.sys--编译通过-
03-24 2122
/******************************************************************************************** Module : nvmini.c** Author : sudami [sudami@163.com]* Time : 08/02/28** Comment:* 去年月份强悍的“马吉斯(Worm.Magistr
Event ID 26 Source Application Popup
weixin_33913332的博客
09-27 761
服务器上报Application Popup: Information: 26:Application popup: userinit.exe - DLL Initialization Failed : The application failed to initialize because the window station is shutting down. 信息,该事件的描述表示,操作系统...
Win10数字签名错误/winload.exe 错误解决办法
热门推荐
小飞飞的专栏
12-23 4万+
装win10或者升级win10的时候总会出现数字签名错误和找不到winload.exe,我觉得这2个错误是差不多的,接下来看我的解决过程吧!
微软云技术深度解析与代码使用案例
运维人生
09-02 1400
通过以上代码使用案例,我们展示了如何在Azure平台上快速部署一个ASP.NET CoreWeb应用。微软云凭借其强大的技术实力和丰富的生态系统,为开发者提供了便捷、高效、可靠的云服务。无论是个人开发者还是企业用户,都可以通过Azure实现自己的业务需求和技术创新。随着云计算技术的不断发展,微软云将继续在AI、大数据、物联网等领域深耕细作,为各行各业提供更加智能、高效的解决方案。我们相信,在未来的云计算时代,微软云将成为推动社会进步和产业升级的重要力量。
全球性“微软蓝屏”事件的深思:网络安全与系统稳定性的挑战与应对
图灵追幕者博客录
09-05 594
近日,由于微软视窗系统软件更新引发的全球性“微软蓝屏”事件,成为科技领域的热点新闻。这次事件不仅影响了全球约850万台设备,波及航空、医疗、传媒等关键行业,还导致美国超过2.3万架次航班延误。如此规模的系统中断,再次将网络安全与系统稳定性的问题推上了风口浪尖。这次事件为我们敲响了警钟,提醒我们必须更加重视网络安全和系统稳定性。那么,如何构建一个更加稳固和安全的网络环境?在网络安全和系统稳定性方面,我们应采取哪些措施?
c# c++程序 交互
清流弯弯
09-02 319
/退出子进程//给C++进程发送。
LiveKit的agent介绍
最新发布
xsgnzb的专栏
09-05 672
LiveKit核心概念:​订阅信息流​agent交互流程赋予用户创建房间的权限,在客户的加入并创建房间。客户的指定ws_url和token,加入指定房间。 离开房间 调用 通知 LiveKit 离开事件。如果应用程序在未通知 LiveKit 的情况下关闭,则将继续显示参与者在 Room 中 15 秒。Swift上,当应用程序退出时,会自动调用 。客户端通过 API 向房间中的任何参与者发布任意数据消息。房间数据通过 WebRTC 数据通道发布到SFU;LiveKit 服务器会将该数据转发给聊天室中
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9017
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集管理、资源调度、文件管理等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值