cmdbcs.exe，mppds.exe，wsttrs.exe等病毒查杀

此病毒主文件名为upxdnd.exe,cmdbcs.exe,mppds.exe，msccrt.exe,wsstrs.exe,systemm.exe等，还有Ｎ多的病毒文件。全部在系统目录下，并且加入到注册表启动项。当系统感染时的第一症状，就是关闭你的杀毒软件，并消耗你的系统资源，直至系统崩溃！因此很难对付，也不知道该病毒叫啥名字，反正查出来有Ｎ多种。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
以下为从网上搜集出来的清除方法： 近来这些病毒upxdnd.exe,cmdbcs.exe,mppds.exe，msccrt.exe比较猖狂,已有多位会员中招,在首页修复之家处理了很多相关的报告.现在发表一些案例的解决办法供大家参考,在此感谢斑竹WULM(卡卡社区精英),我在这里作一点小结 注意:以下案例的解决办法都是得到会员反馈已经成功清除病毒的案例.
症状:中毒者游戏或者QQ帐号,密码被盗
解决办法:
案例1: 在安全模式下操作用sreng-点启动项目－点注册表: 将以下项的启动删除： <\docume~1\admini~1\locals~1\temp\rundl132.exe>[] <\windows\cmdbcs.exe>[] <\docume~1\admini~1\locals~1\temp\update4.exe>[] <\docume~1\admini~1\locals~1\temp\update8.exe>[] <{A6011F8F-A7F8-49AA-9ADA-49127D43138F}><\program> []
用sreng-点启动项目－点注册表-点编辑：将以下项的启动中的红色字体内容删除： <49400M.BMP> [] 安全模式下用置顶贴的powerRMV或冰刃删除
C:\WINDOWS\49400M.BMP
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\cmdbcs.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe
C:\WINDOWS\49400M.BMP
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update4.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update8.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk
删除c:\windows\system32\drivers\etc\hosts文件
案例2: 在安全模式下操作：用置顶贴的powerRMV或冰刃删除 C:\WINDOWS\SYSTEM32\cryptchr.dll C:\WINDOWS\system32\drivers\npf.sys 用sreng-点启动项目－点服务－点驱动程序：把以下驱动删除： [Netgroup Packet Filter / NPF][Stopped/Manual Start] 用sreng-点启动项目－点注册表-点编辑：将以下项的启动中的红色字体内容删除： [N/A]
案例3在安全模式下操作用sreng-点启动项目－点注册表: 将以下项的启动删除： <0f2qmqjr6ry07d><\docume~1\lp\locals~1\temp\iexpl0re.exe> [] <\docume~1\lp\locals~1\temp\crasos.exe>[] <\docume~1\lp\locals~1\temp\c0nime.exe>[] <1r2j2sdc0><\docume~1\lp\locals~1\temp\rundl132.exe> [] <\docume~1\lp\locals~1\temp\winlog0n.exe>[] <\docume~1\lp\locals~1\temp\upxdnd.exe>[] <\windows\cmdbcs.exe>[] 用置顶贴的powerRMV或冰刃删除 C:\WINDOWS\cmdbcs.exe C:\DOCUME~1\lp\LOCALS~1\Temp\winlog0n.exe C:\DOCUME~1\lp\LOCALS~1\Temp\rundl132.exe C:\DOCUME~1\lp\LOCALS~1\Temp\c0nime.exe C:\DOCUME~1\lp\LOCALS~1\Temp\crasos.exe C:\DOCUME~1\lp\LOCALS~1\Temp\iexpl0re.exe C:\DOCUME~1\lp\LOCALS~1\Temp\upxdnd.exe C:\DOCUME~1\lp\LOCALS~1\Temp\LgSy2.dll C:\DOCUME~1\lp\LOCALS~1\Temp\Msxo1.dll C:\DOCUME~1\lp\LOCALS~1\Temp\Gjzo1.dll C:\DOCUME~1\lp\LOCALS~1\Temp\Rav21.dll C:\DOCUME~1\lp\LOCALS~1\Temp\LgSy3.dll
案例4用sreng-点启动项目－点注册表: 将以下项的启动删除： <\docume~1\amw\locals~1\temp\iexpl0re.exe>[] <2kv3iqfd1c9isu2><\docume~1\amw\locals~1\temp\crasos.exe> [] <\windows\cmdbcs.exe>[] 安全模式下用置顶贴的powerRMV或冰刃删除 C:\DOCUME~1\amw\LOCALS~1\Temp\iexpl0re.exe C:\DOCUME~1\amw\LOCALS~1\Temp\crasos.exe C:\DOCUME~1\amw\LOCALS~1\Temp\LgSy5.dll C:\DOCUME~1\amw\LOCALS~1\Temp\Msxo3.dll C:\DOCUME~1\amw\LOCALS~1\Temp\Gjzo3.dll C:\DOCUME~1\amw\LOCALS~1\Temp\Rav22.dll C:\DOCUME~1\amw\LOCALS~1\Temp\LgSy6.dll C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\cmdbcs.exe C:\DOCUME~1\amw\LOCALS~1\Temp\LgSy4.dll C:\DOCUME~1\amw\LOCALS~1\Temp\Rav21.dll C:\DOCUME~1\amw\LOCALS~1\Temp\Gjzo2.dll C:\DOCUME~1\amw\LOCALS~1\Temp\Msxo2.dll C:\DOCUME~1\amw\LOCALS~1\Temp\LgSy3.dll 删除c:\windows\system32\drivers\etc\hosts
案例5在安全模式下操作用sreng-点启动项目－点服务－点win32服务应用程序:将以下项删除： [B42EFF22 / B42EFF22][Stopped/Auto Start] <\windows\system32\b42eff22.exe>[F238F30A / F238F30A][Stopped/Auto Start] <\windows\system32\f238f30a.exe>用sreng-点启动项目－点服务－点驱动程序：把以下驱动删除：(如果删不掉，就设置启动类型为disabled!) [995875 / 995875][Stopped/Manual Start] <\??\C:\WINDOWS\system32\Drivers\995859.sys> [Netgroup Packet Filter / NPF][Stopped/Manual Start] [qhqind / qhqind][Running/Boot Start] <\SystemRoot\\SystemRoot\System32\drivers\qhqind.sys> 用sreng-点启动项目－点注册表: 将以下项的启动删除： <\docume~1\admini~1\locals~1\temp\rundl132.exe>[] <9cbf65y034mkx2><\docume~1\admini~1\locals~1\temp\winlog0n.exe> [] <66><\sysdayn6\svchost.exe> [] <4><\syswsj7\svchost.exe> [] <333><\syswm1i\svchost.exe> [] <\windows\winform.exe>[] 安全模式下用置顶贴的powerRMV或冰刃删除 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe C:\WINDOWS\system32\B42EFF22.DLL C:\WINDOWS\system32\B42EFF22.EXE C:\WINDOWS\system32\F238F30A.DLL C:\WINDOWS\system32\F238F30A.EXE C:\WINDOWS\system32\AB1767F4.exe C:\WINDOWS\system32\AB1767F4.DLL C:\WINDOWS\system32\9B1C4A4B.exe C:\WINDOWS\system32\9B1C4A4B.dll C:\WINDOWS\norton.exe C:\WINDOWS\system32\norton.dll C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\cmdbcs.exe C:\PROGRA~1\WINDOW~2\wmpband.dll C:\WINDOWS\system32\mppds.dll C:\WINDOWS\system32\winform.dll C:\WINDOWS\system32\msccrt.dll C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll C:\Syswm1i文件夹 C:\SysWsj7文件夹 C:\SysDayN6文件夹对这类病毒作个
简单的总结:1.这类病毒始终出现在临时文件夹中,要注意清空临时文件夹. 2.此病毒具有一定的感染性,如果病毒文件没删除干净很容易复发 3.此病毒要修改HOST文件,屏蔽一些网址. 最后说一句:良好的上网习惯才是王道.