面对木马群,我们无语-电脑发烧友-虚拟学院-网聚热情的力量

面对木马群,我们无语

等级：白银长老
管理等级：站长
贡献积分：1803
帖子水平：研究水准
虚拟学会：紫禁之颠

面对木马群,我们无语

第4次中木马群,只因为我用IE上了会网,查了点课件.....
现在都先进了,都是机群种马,这帮流氓除了种马外，主要的目的是岛号，我发现现在一般只要用IE上网，不多久就能中了
=========================================
Trojan.PSW.OnlineGames.XX相关病毒

最近很多人中了木马群cmdbcs.exe，wsttrs.exe，msccrt.exe，winform.exe,upxdnd.exe等这个应该是通过木马下载器下载所致这些基本上都是些盗号木马

一般sreng日志表现如下：

启动项目里 (不一定全)
<wsttrs><C:\windows\wsttrs.exe> [Microsoft Corporation]
<svc><C:\DOCUME~1\用户名\LOCALS~1\Temp\byetmr.exe> [Microsoft Corporation]
<g1q><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> []
<upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [Microsoft Corporation]
<winform><C:\WINDOWS\winform.exe> [N/A]
<ravshell><C:\WINDOWS\system32\SVCH0ST.exe> []
<upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> [N/A]
<mppds><C:\WINDOWS\mppds.exe> [N/A]
<nortonq><C:\WINDOWS\nortonq.exe> []
<System><C:\Program Files\Common Files\System\Updaterun.exe> [N/A]
<5cl3v><C:\DOCUME~1\用户名\LOCALS~1\Temp\servicer.exe> []
<mppdys><C:\WINDOWS\mppdys.exe> []
<mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<wgs3><C:\WINDOWS\wgs3.exe> []
<wms3><C:\WINDOWS\wms3.exe> []
<twin><C:\WINDOWS\system32\twunk32.exe> []
<wsttrs><rem c:\windows\wsttrs.exe> []
<wsdttrs><C:\WINDOWS\wsdttrs.exe> []
<dcoh><C:\WINDOWS\dcoh.exe> []
<upxdnd><C:\Windows\Temp\upxdnd.exe> [N/A]
另外
C:\WINDOWS\mppds.exe
C:\WINDOWS\winform.exe
c:\windows\wsttrs.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\wsdttrs.exe
C:\WINDOWS\nortonq.exe
C:\WINDOWS\dcoh.exe等病毒每个会释放一个dll 插入explorer等进程

解决办法：

如果在进程里看见了类似情况，请按照以下步骤操作

安全模式下(开机后不断按F8键然后出来一个高级菜单选择第一项安全模式进入系统)

打开sreng
启动项目注册表删除如下项目 (有哪个删哪个)
<wsttrs><C:\windows\wsttrs.exe> [Microsoft Corporation]
<winform><C:\WINDOWS\winform.exe> [N/A]
<ravshell><C:\WINDOWS\system32\SVCH0ST.exe> []（注意中间是数字0，不是字母O)
<cmdbcs><C:\WINDOWS\cmdbcs.exe> [N/A]
<mppds><C:\WINDOWS\mppds.exe> [N/A]
<nortonq><C:\WINDOWS\nortonq.exe> []
<System><C:\Program Files\Common Files\System\Updaterun.exe> [N/A]
<mppdys><C:\WINDOWS\mppdys.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<wgs3><C:\WINDOWS\wgs3.exe> []
<wms3><C:\WINDOWS\wms3.exe> []
<twin><C:\WINDOWS\system32\twunk32.exe> []
<wsttrs><rem c:\windows\wsttrs.exe> []
<wsdttrs><C:\WINDOWS\wsdttrs.exe> []
<dcoh><C:\WINDOWS\dcoh.exe> []
<upxdnd><C:\Windows\Temp\upxdnd.exe> [N/A]

以及所有的Temp文件夹下的文件建立的启动项目(即类似<5cl3v><C:\DOCUME~1\用户名\LOCALS~1\Temp\servicer.exe> []的项目）
然后
删除上述对应文件
和C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\wsdttrs.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\mppdys.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\nortonq.dll
C:\WINDOWS\system32\dcoh.dll

4.4更新<upxdnd><C:\Windows\Temp\upxdnd.exe> [N/A]
4.5更新<dcoh><C:\WINDOWS\dcoh.exe> []

清空临时文件夹即C:\Documents and Settings\用户名\Local Settings\Temp
和C:\Windows\Temp
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除把Timplatfrom.exe重命名为Timplatform.exe
如果哪位网友有发现新情况可以和我交流我会及时补充
========================================================
没办法，现在我一般用firefox不是我不想用IE，而是我不敢用了

曾几何时，我相信自己不会中毒，现在我不再有自信了，我希望，我希望我们的搜索引擎在收录网站的时候可以把这些有毒的站屏蔽掉，这在技术上应该不难才对

最初发表时间：2007-5-16