计算机技術文摘
清除木马群 winform.exe wsdtthrs.exe wsttrs.exe cmdbcs.exe cmdhcs.exe
这个木马群最近好像让很多人都中招了,我公司有两台电脑分别中招,在网上搜了一下有的朋友还有列出一些其它的木马文件名,但我公司两台中招电脑唯有这几个木马文件名是相同的,我想此木马群应该就是这几个吧。
该木马群会生成以下文件
c:\windows\winform.exe
c:
\windows\wsdtthrs.exe
c:\windows\wsttrs.exe
c:\windows\mppds.exe
c:\windows\cmdbcs.exe
c:\windows\cmdhcs.exe
c:\windows\system32\winform.dll
c:\windows\system32\wsttrs.dll
c:\windows\system32\cmdbcs.dll
c:\windows\system32\cmdbhcs.dll
C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe
其它文件应该不是同属该木马群的
会生成以下的启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
c:\windows\winform.exe
c:\windows\wsttrs.exe
c:\windows\mppds.exe
c:\windows\cmdbcs.exe
c:\windows\cmdhcs.exe
还有一个启动项是用Rundll32.exe 加载 wsttrs.dll的,具体哪个位置我记不太清楚了,但可以借助启动管理工具把类有以上文件名类似的项删除掉。
清除方法:
进入安全模式或使用Icesword工具
删除
c:\windows\winform.exe
c:\windows\wsdtthrs.exe
c:\windows\wsttrs.exe
c:\windows\mppds.exe
c:\windows\cmdbcs.exe
c:\windows\cmdhcs.exe
c:\windows\system32\winform.dll
c:\windows\system32\wsttrs.dll
c:\windows\system32\cmdbcs.dll
c:\windows\system32\cmdbhcs.dll
C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe
删除启动项(可以借助卡卡助手等工具)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
c:\windows\winform.exe
c:\windows\wsttrs.exe
c:\windows\mppds.exe
c:\windows\cmdbcs.exe
c:\windows\cmdhcs.exe
重启就OK了。
另360safe能查到此种病毒,但不能完全清除,删除完成之后可以用360safe扫描试试。
360safe
下载
Icesword
下载
posted on 2007-04-07 10:34
计算机技术博客
阅读(1302)
评论(0)
编辑
收藏
引用
所属分类:
4 工作手記
公告
http://www.nuanbb.com
导航
管理
常用链接
我的随笔
我的评论
我参与的随笔
随笔分类
(255)
1 Server技术(58)
(rss)
2 SQL学习(1)
(rss)
3 VB学习
(rss)
4 工作手記(36)
(rss)
5 硬件技術(12)
(rss)
6 簡單編程(5)
(rss)
7 系統維護(59)
(rss)
8 網絡技術(50)
(rss)
9 路由技术(14)
(rss)
A 学习笔记(7)
(rss)
B VPN技术(4)
(rss)
C 杂记(7)
(rss)
Dkingcms(2)
(rss)
常用链接
东莞米粉
暖宝宝
暖宫贴