可疑进程

显示全部楼层 · 2007-11-4 18:46:50

upxdnd.exe 征途木马征途木马 upxdnd.exe upxdnd.dll病毒名称：Trojan-PSW.Win32.OnLineGames.es（Kaspersky）病毒别名：Trojan.PSW.ZhengTu.ahw（瑞星）
Win32.Troj.Lmir.dx.8517（毒霸）病毒大小：13,824 字节加壳方式：发现时间：2007.2更新时间：2007.1.31关联病毒：传播方式：恶意网页、其它病毒下载技术分析==========征途网游木马，运行后复制自身到临时目录：%temp%\upxdnd.exe释放dll注入进程：%temp%\upxdnd.dll创建启动项：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"upxdnd"="%temp%\upxdnd.exe"监视卡巴斯基（Kaspersky）警报对话框发送“允许”命令；监视瑞星注册表监控提示发送“跳过”命令清除步骤==========1. 删除启动项：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"upxdnd"="%temp%\upxdnd.exe"2. 重新启动计算机3. 删除文件：%temp%\upxdnd.exe%temp%\upxdnd.dll

千问 · 2007-11-4 18:46:50

是一种木马病毒,征途木马病毒首先会在临时文件夹里面生成以下文件： C:\ Documents and Settings\用户名\LOCALS~1\Temp\upxdnd.dll C:\ Documents and Settings\用户名\LOCALS~1\Temp\upxdnd.exe C:\ Documents and Settings\用户名\LOCALS~1\Temp\crasos.exe C:\Documents and Settings\用户名\LOCALS~1\Temp\iexpl0re.exe C:\Documents and Settings\用户名\LOCALS~1\Temp\此目录下病毒文件名一般是[1].gif [2].gif [3].gif ~~ [7].gif 系统文件下生成： C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\system32\sysload3.exe （必须首先用费尔工具或其它工具除掉，而且要抑制其生成，）当电脑重启后会在C:\WINDOWS\system32 此系统目录下生成如:1.exe 2.exe 3.exe 4.exe 5.exe 6.exe 修改注册表文件： HKEY有几个我在这里就省了\Software\Microsoft\Windows\CurrentVersion\Run 会出现有关upxdnd crasos iexpl0re 数值如：HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run "upxdnd"="C:\DOCUME~1\Admin\LOCALS~1\Temp\upxdnd.exe 修改Hosts文件：（hosts文件路径C:\WINDOWS\system32\drivers\etc） 127.0.0.1 localhost 127.0.0.1 mmm.XXXX.net 127.0.0.1 do.XXXX.com 127.0.0.1 www.XXXX.com 127.0.0.1 XXXX.cn 127.0.0.1 222.73.220.45 127.0.0.1 www.XXXX.com 127.0.0.1 www.XXXX.cn 127.0.0.1 wm,XXXX.com 127.0.0.1 www.XXXX.cn （里面有很多网址我用XXXX代替免得帮他们做广告，哈哈）知道了它的特征，我们就可以开始处理它了，首先我们断开网络。进入安全模式，哈哈，其它我是没有进入安全模式的。第一步：用费尔工具将C:\WINDOWS\system32\sysload3.exe 文件清除并抑制其生成。将C:\WINDOWS\system32目录下的1.exe 2.exe 3.exe 4.exe 5.exe 6.exe 将其直接删除。第二步：清除临时文件夹所有文件，不能手动删除的用费尔工具将其删除第三步：运行-----CMD----msconfig命令（此命令只能在winXP、2003使用，如果想在win2K下使用就需要复制msconfig文件到系统目录下）将启动项upxdnd.exe 及crasos.exe 前面的勾去掉。第四步：运行----regedit 打开注册表查找sysload3.exe 及upxdnd.exe 、crasos.exe，将其涉及到的项、值、数据删除。第五步：找到hosts文件保留 127.0.0.1 localhost 将其它的127.0.0.1 后面跟的所有网址全部删除。

千问 · 2007-11-4 18:46:50

我建议你下个木马清除道夫，然后那有进程扫描，有可疑进程的安Ctrl+Alt+Del(.)然后结素他进程但是有的进程那里显示不出来个别几个