急：如何清除cmdbcs木马？

plutozzq

如题，请高手们指点。。

andylan

关于木马群upxdnd.exe,cmdbcs.exe（Trojan.PSW.OnlineGames..）的清除办法

最近很多人中了木马群cmdbcs.exe，wsttrs.exe，msccrt.exe，winform.exe,upxdnd.exe等 这个应该是通过木马下载器下载所致 这些基本上都是些盗号木马
一般sreng日志表现如下
启动项目里 (不一定全)
<wsttrs><C:windowswsttrs.exe> [Microsoft Corporation]
<svc><C:DOCUME~1用户名LOCALS~1Tempyetmr.exe> [Microsoft Corporation]
<g1q><C:DOCUME~1ADMINI~1LOCALS~1Tempundl132.exe> []
<upxdnd><C:DOCUME~1用户名LOCALS~1Tempupxdnd.exe> [Microsoft Corporation]
<winform><C:WINDOWSwinform.exe> [N/A]
<upxdnd><C:DOCUME~1用户名LOCALS~1Tempupxdnd.exe> [N/A]
<cmdbcs><C:WINDOWScmdbcs.exe> [N/A]
<mppds><C:WINDOWSmppds.exe> [N/A]
<nortonq><C:WINDOWS
ortonq.exe> []
<System><C:Program FilesCommon FilesSystemUpdaterun.exe> [N/A]
<5cl3v><C:DOCUME~1用户名LOCALS~1Tempservicer.exe> []
<mppdys><C:WINDOWSmppdys.exe> []
<mhsa><C:DOCUME~1用户名LOCALS~1Tempmhso.exe> []
<msccrt><C:WINDOWSmsccrt.exe> []
<wgs3><C:WINDOWSwgs3.exe> []
<wms3><C:WINDOWSwms3.exe> []
<twin><C:WINDOWSsystem32    wunk32.exe> []
<wsttrs><rem c:windowswsttrs.exe> []
另外
C:WINDOWSmppds.exe
C:WINDOWSwinform.exe
c:windowswsttrs.exe
C:WINDOWScmdbcs.exe
C:WINDOWSmsccrt.exe
C:WINDOWS
ortonq.exe等病毒每个会释放一个dll 插入explorer等进程

解决办法
如果在进程里看见了类似情况
请按照以下步骤操作

安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng
启动项目 注册表 删除如下项目 (有哪个删哪个)
<wsttrs><C:windowswsttrs.exe> [Microsoft Corporation]
<winform><C:WINDOWSwinform.exe> [N/A]
<cmdbcs><C:WINDOWScmdbcs.exe> [N/A]
<mppds><C:WINDOWSmppds.exe> [N/A]
<System><C:Program FilesCommon FilesSystemUpdaterun.exe> [N/A]
<ravshell><C:WINDOWSsystem32SVCH0ST.EXE> [N/A]
<svc><C:DOCUME~1用户名LOCALS~1Tempyetmr.exe> [Microsoft Corporation]
<mppdys><C:WINDOWSmppdys.exe> []
<nortonq><C:WINDOWS
ortonq.exe> []
<msccrt><C:WINDOWSmsccrt.exe> []
<wgs3><C:WINDOWSwgs3.exe> []
<wms3><C:WINDOWSwms3.exe> []
<twin><C:WINDOWSsystem32    wunk32.exe> []
<wsttrs><rem c:windowswsttrs.exe> []
以及所有的Temp文件夹下的文件建立的启动项目
然后

站长提醒下，现在网络上病毒横行，推荐以后上网用火狐浏览器，
用火狐保障你上网的安全，火狐浏览器推荐下载：http://firefox.sms95.com/index.htm还有U盘和MP3不要乱插！
删除上述对应文件
和C:WINDOWSsystem32wsttrs.dll
C:WINDOWSsystem32winform.dll
C:WINDOWSsystem32cmdbcs.dll
C:WINDOWSsystem32mppds.dll
C:WINDOWSsystem32mppdys.dll
C:WINDOWSsystem32msccrt.dll
C:WINDOWSsystem32wsttrs.dll
C:WINDOWSsystem32
ortonq.dll
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe
如果哪位网友有发现新情况可以和我交流 我会及时补充

另：添加几个最近流行病毒的解决办法
1 一个不断使电脑发出“当”或者“咚”的声音的病毒
解决方案：

重启计算机进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
TomDemoService / TomDemoService
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除
C: config.exe
清除方法2：顽固文件杀灭工具-冰刃Icesword（附教程和软件下载）
http://www.91kb.cn/read-htm-tid-81.html
粉碎C:下的CONFIG.EXE就可以搞定了

2.SysLoad3.exe (Worm.DlOnlineGames)
提供专杀
一个是江民官方的 一个是非官方的
江民官方的专杀
http://download.jiangmin.info/jmsoft/ANIWormKiller.exe

非官方水木社区网友coding的专杀
作者提供的下载地址：
http://mumayi1.999kb.com/pic/2007-04-02/b6z4d6al8r5e9d6t44dn.rar
注意：空间不支持exe格式，请下载后把后缀由rar改成exe

用以修复被感染的exe文件

3.调用cmd.exe狂占系统资源的病毒

安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
Windows SystemDown / WindowsDown



双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除C:WINDOWSsystem32servet.exe

SREng用法简要说明(如何获得日志/删启动项目/服务/驱动/BHO等）
http://www.91kb.cn/read-htm-tid-1833.html
转载自久要卡吧：http://www.91kb.cn/read-htm-tid-1803.html

wangjay1980

用SRE扫个报告

无敌敏敏

trojan psw.win32是一个木马病毒，病毒通过记录键盘的动作来盗取用户传奇的密码，

并且该病毒具有对抗杀毒软件的一些行为，使用户更难发现和杀毒。
木马 cmdbcs.exe cmdbcs.dll 手工清除方法

一、病毒行为分析

木马运行后复制自身到系统目录：
%Windows%\cmdbcs.exe
释放%System%\cmdbcs.dll注入进程。
创建启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmdbcs"="%Windows%\cmdbcs.exe"

二、手工清除步骤

1. 删除木马启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmdbcs"="%Windows%\cmdbcs.exe"
2. 重新启动计算机
3. 删除木马文件和目录：
%Windows%\cmdbcs.exe
%System%\cmdbcs.dll