瑞星卡卡安全论坛

最近很多人中了木马群cmdbcs.exe，wsttrs.exe，msccrt.exe，winform.exe,upxdnd.exe等 这个应该是通过木马下载器下载所致 这些基本上都是些盗号木马
一般sreng日志表现如下
启动项目里 (不一定全)
<wsttrs><C:\windows\wsttrs.exe> [Microsoft Corporation]
<svc><C:\DOCUME~1\用户名\LOCALS~1\Temp\byetmr.exe> [Microsoft Corporation]
<g1q><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> []
<upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [Microsoft Corporation]
<winform><C:\WINDOWS\winform.exe>  [N/A]
<ravshell><C:\WINDOWS\system32\SVCH0ST.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe>  [N/A]
<mppds><C:\WINDOWS\mppds.exe>  [N/A]
<nortonq><C:\WINDOWS\nortonq.exe> []
<System><C:\Program Files\Common Files\System\Updaterun.exe>  [N/A]
<5cl3v><C:\DOCUME~1\用户名\LOCALS~1\Temp\servicer.exe> []
<mppdys><C:\WINDOWS\mppdys.exe>  []
<mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe>  []
<msccrt><C:\WINDOWS\msccrt.exe>  []
<wgs3><C:\WINDOWS\wgs3.exe>  []
<wms3><C:\WINDOWS\wms3.exe>  []
<twin><C:\WINDOWS\system32\twunk32.exe>  []
<wsttrs><rem c:\windows\wsttrs.exe> []
<wsdttrs><C:\WINDOWS\wsdttrs.exe> []
<dcoh><C:\WINDOWS\dcoh.exe> []
<upxdnd><C:\Windows\Temp\upxdnd.exe>  [N/A]
  <cmdbscs><C:\WINDOWS\cmdbscs.exe>  []
<cmdbcsi><C:\WINDOWS\cmdbcsi.exe>  []
<fcmdbcs><; C:\WINDOWS\fcmdbcs.exe>  []
<mooness><C:\WINDOWS\mooness.exe /i>  []
<cmddbcs><C:\WINDOWS\cmddbcs.exe>  []
<hcmdbcs><C:\WINDOWS\hcmdbcs.exe> []
<shualai><C:\WINDOWS\shualai.exe /i>  []
<mucees><C:\WINDOWS\muceess.exe /i>  []
<tcmdbcs><C:\WINDOWS\tcmdbcs.exe>  []
<jbcs><C:\WINDOWS\jbcs.exe>  []

另外
C:\WINDOWS\mppds.exe
C:\WINDOWS\winform.exe
c:\windows\wsttrs.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\wsdttrs.exe
C:\WINDOWS\nortonq.exe
C:\WINDOWS\cmdbcsi.exe
C:\WINDOWS\cmdbscs.exe
C:\WINDOWS\dcoh.exe
C:\WINDOWS\fcmdbcs.exe
C:\WINDOWS\mooness.exe
C:\WINDOWS\cmddbcs.exe
C:\WINDOWS\hcmdbcs.exe
C:\WINDOWS\shualai.exe
C:\WINDOWS\muceess.exe
C:\WINDOWS\tcmdbcs.exe
C:\WINDOWS\jbcs.exe
等病毒每个会释放一个dll 插入explorer等进程

解决办法
如果在进程里看见了类似情况
请按照以下步骤操作

安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng
启动项目  注册表 删除如下项目 (有哪个删哪个)
<wsttrs><C:\windows\wsttrs.exe> [Microsoft Corporation]
<winform><C:\WINDOWS\winform.exe>  [N/A]
<ravshell><C:\WINDOWS\system32\SVCH0ST.exe> []（注意中间是数字0，不是字母O)
<cmdbcs><C:\WINDOWS\cmdbcs.exe>  [N/A]
<mppds><C:\WINDOWS\mppds.exe>  [N/A]
<nortonq><C:\WINDOWS\nortonq.exe> []
<System><C:\Program Files\Common Files\System\Updaterun.exe>  [N/A]
<mppdys><C:\WINDOWS\mppdys.exe>  []
<msccrt><C:\WINDOWS\msccrt.exe>  []
<wgs3><C:\WINDOWS\wgs3.exe>  []
<wms3><C:\WINDOWS\wms3.exe>  []
<twin><C:\WINDOWS\system32\twunk32.exe>  []
<wsttrs><rem c:\windows\wsttrs.exe> []
<wsdttrs><C:\WINDOWS\wsdttrs.exe> []
<dcoh><C:\WINDOWS\dcoh.exe> []
<upxdnd><C:\Windows\Temp\upxdnd.exe>  [N/A]
<cmdbscs><C:\WINDOWS\cmdbscs.exe>  []
<cmdbcsi><C:\WINDOWS\cmdbcsi.exe>  []
<fcmdbcs><; C:\WINDOWS\fcmdbcs.exe>  []
<mooness><C:\WINDOWS\mooness.exe /i>  []
<cmddbcs><C:\WINDOWS\cmddbcs.exe>  []
<hcmdbcs><C:\WINDOWS\hcmdbcs.exe> []
<shualai><C:\WINDOWS\shualai.exe /i>  []
<mucees><C:\WINDOWS\muceess.exe /i>  []
<tcmdbcs><C:\WINDOWS\tcmdbcs.exe>  []
<jbcs><C:\WINDOWS\jbcs.exe>  []

以及所有的Temp文件夹下的文件建立的启动项目(即类似<5cl3v><C:\DOCUME~1\用户名\LOCALS~1\Temp\servicer.exe> []的项目）
然后
删除上述对应文件
和C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\wsdttrs.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\mppdys.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\nortonq.dll
C:\WINDOWS\system32\dcoh.dll
C:\WINDOWS\system32\cmdbcsi.dll
C:\WINDOWS\system32\cmdbscs.dll
C:\WINDOWS\system32\fcmdbcs.dll
C:\WINDOWS\system32\mooness.dll
C:\WINDOWS\system32\cmddbcs.dll
C:\WINDOWS\system32\hcmdbcs.dll
C:\WINDOWS\system32\shualai.dll
C:\WINDOWS\system32\muceess.dll
C:\WINDOWS\system32\tcmdbcs.dll
C:\WINDOWS\system32\jbcs.dll

4.4更新<upxdnd><C:\Windows\Temp\upxdnd.exe>  [N/A]
4.5更新<dcoh><C:\WINDOWS\dcoh.exe> []
4.8更新<cmdbscs><C:\WINDOWS\cmdbscs.exe>  []
<cmdbcsi><C:\WINDOWS\cmdbcsi.exe>  []
4.13更新 <fcmdbcs><; C:\WINDOWS\fcmdbcs.exe>  []
<mooness><C:\WINDOWS\mooness.exe /i>  []
<cmddbcs><C:\WINDOWS\cmddbcs.exe>  []
4.14更新<hcmdbcs><C:\WINDOWS\hcmdbcs.exe> []
4.15更新<shualai><C:\WINDOWS\shualai.exe /i>  []
<mucees><C:\WINDOWS\muceess.exe /i>  []
4.16更新<tcmdbcs><C:\WINDOWS\tcmdbcs.exe>  []
<jbcs><C:\WINDOWS\jbcs.exe>  []

清空临时文件夹 即C:\Documents and Settings\用户名\Local Settings\Temp
和C:\Windows\Temp
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe
如果哪位网友有发现新情况可以和我交流 我会及时补充

4.11补充
关于C:\windows\wsttrs.exe等病毒导致开机无法显示桌面的问题
近来发现很多用户开机不能显示桌面 并发现是那个wsttrs.exe导致的
解决方案如下
正常开机进入系统
如果不能显示桌面 那么点击Ctrl+Alt+Del 打开任务管理器
查找wsttrs.exe进程 右键将其结束
然后打开sreng
启动项目  注册表 删除<wsttrs>的项目
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除C:\windows\wsttrs.exe
重起计算机 删除C:\WINDOWS\system32\wsttrs.dll
一般这类病毒是成批出现的 所以请按本贴查找其他病毒 并将其清除
如果有新病毒出现 请发悄悄话给我 我会及时补充


另：添加几个最近流行病毒的解决办法
1 一个不断使电脑发出“当”或者“咚”的声音的病毒
解决方案：

重启计算机进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
TomDemoService / TomDemoService
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除
C:\config.exe

2.SysLoad3.exe (Worm.DlOnlineGames)
提供专杀
一个是江民官方的 一个是非官方的
江民官方的专杀
http://download.jiangmin.info/jmsoft/ANIWormKiller.exe

非官方水木社区网友coding的专杀
作者提供的下载地址：
http://mumayi1.999kb.com/pic/2007-04-02/pdhk3he7cb5q1y4sg0bf.rar
注意：空间不支持exe格式，请下载后把后缀由rar改成exe

用以修复被感染的exe文件

3.调用cmd.exe狂占系统资源的病毒

安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
Windows SystemDown / WindowsDown

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除C:\WINDOWS\system32\servet.exe

好象不止QQ哦..REALPLAY里面好象也有文件感染了!!

这些马最近很常见！有些是威金的崽子！

555可就是不能彻底杀掉 感染太多文件了!!

sreng 在哪里打开啊？？？？

我就是中了金威再中它了还杀不了

如果还有其他情况希望大家给与补充

自己顶一下 因为中此毒的人太多了

试了，但没成功！

谢谢 按楼主说的试了下 现在已经杀掉了 重启以后也没有了

我试过了，重起之后没事，但是就在快要完全放心的时候，又跳出来一个Trojan.PSW.OnLineGames.ws的……不过到现在为止还没有其他的再跳出来。请楼主帮忙看看
老天爷真是的，本人从来不玩游戏，之前为了防病毒把qq卸了好几个月了，结果跟老哥聊天刚装上说了3句话就中了……
所以我还想请问一下，这个病毒如果是不玩游戏会不会有其他的危害呢？谢谢！

55555，不行，又冒出来了好几个……怎么办？怎么办？

狂晕........
怎么昨天没看到后面的.....
我还原了..什么都冒得了，哭....

江民的那个专杀现在下不了，看来只有明天再试下了

【回复“newcenturymoon”的帖子】
不灵啊，反复试了，还有。

机器昨天刚用卡巴杀出371个病毒，大部分都是木马病毒，也包括上面讲到的木马群，可机器还是出奇的慢，不知道是什么原因，CPU资源也占用不到20%，就是特别的慢，不知道怎么办，难道只有做系统吗？

sreng  在哪里找啊
　进了安全模式　在哪里找sreng 　　　
　是不是　ＱＱ一定要删了

我用上面方法试过，但是还有。楼主说的方法只是清除了c:盘的病毒，但是别的盘符没清除，我用瑞星，和江民扫描别的盘符但是发现不了病毒，郁闷，我都重新安装系统5次，格式化c盘2次了，但是还有。

因为这几个病毒 ,我三天来每天都删几个小时,
自己都不知道用什么法删掉的了。还好，现在看起来没用了/

我是3月19日朋友给了个音乐网站，上去看看要我下载东西我没下，就中了木马和流氓软件了。现在一直还是会有PSW.QQPass和PSW.OnlineGames两种病毒的系列出现，有没彻底解决办法？

靠,老子也中了这种毒.刚想发帖提问呢!
看了大家的回复,心里又没底了.

我格式的C盘不 行啊!~~我把喀吧和瑞星一块用能查到N个病毒木马程序,就是删不干净.无语了,我一生气把杀毒软件删了.眼不见心不烦.

引用:

【无名hehe的贴子】sreng  在哪里找啊 　进了安全模式　在哪里找sreng 　　　 　是不是　ＱＱ一定要删了 ………………

同问

太困难了，还是让瑞星自己出专杀。

瑞星今天的最新版好像杀出了不少，不知能否根本解决问题。

sreng是System Repair Engineer的简称，是个软件
今天的瑞星还是杀不干净，按照楼主的方法也没用，开机上网就有，快疯了

怒了！搞不定的加我qq：2822640

"一个不断使电脑发出“当”或者“咚”的声音的病毒" 是什么病毒？用瑞星查不出昨天恢复了C盘不响了。


现在魔兽都不敢玩了，进去就一卡一卡的，肯定机子里还有木马！

现在的问题是，正版的瑞星软件就是杀不了。如果都用手工去杀，那还买正版软件做什么？

不知道单机杀完毒之后，连到网上还会不会？？？