求助：UPXDND盗号木马怎么杀。。。。。。。。

【 在 dede97 的大作中提到: 】 : 百度上MS没有特别完美的解决方案 : 除了重装系统 : C:\WINDOWS下面的几个EXE删除了重启还有 : ................... http://forum.ikaka.com/topic.asp?board=28&artid=8290839 以下项目如果存在的话：在sreng里的启动项里删 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\crasos.exe> [N/A] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\c0nime.exe> [N/A] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\rundl132.exe> [N/A] <随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\winlog0n.exe> [N/A] <sysload><C:\windows\system32\sysload3.exe> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A] <cmdbcs><C:\DOCUME~1\用户名\LOCALS~1\Temp\cmdbcs.exe> [N/A] <sysload><C:\windows\system32\sysload3.exe> [N/A] ========================================================================================== 打开冰刃,进程,中止以下进程, iexplore.exe sysload3.exe 上面启动项里的exe文件如果在进程中的话,中止 ========================================================================================== 右键单击explorer-->模块信息,强行解除以下文件 lgsy0.dll rav20.dll gjzo0.dll msxo0.dll upxdnd.dll ========================================================================================== 在sreng里,系统修复-->host文件-->重置 ========================================================================================== 好了,现在基本上大局己定了,收尾工作开始 进入C:\DOCUME~1\用户名\LOCALS~1\Temp目录,删以下文件: c0nime.exe crasos.exe gjzo0.dll iexpl0re.exe lgsy0.dll lgsy1.dll msxo0.dll rav20.dll (这个绝,居然伪装成瑞星文件) rundl132.exe upxdnd.exe upxdnd.dll winlog0n.exe PS:上面8个全靠sysload3.exe释放, ========================================================================================== 进入windows目录删cmdbcs.exe ========================================================================================== 进入system目录,删以下文件: 1.exe一直到7.exe cmdbcs.dll sysload3.exe ========================================================================================== 清空临时文件夹里面的所有东西，包括 C:\Documents and Settings\<用户名>\Local Settings\Temp C:\WINDOWS\TEMP Internet临时文件夹（控制面板--〉“Internet选项”---〉“删除文件”---〉勾选“包括临时文件夹”--〉确定） ========================================================================================== PS:下面这个是病毒配置文件清单,对应中毒者system32目录下的1.exe~7.exe [config] Version=1.0.6 NUM=7 1=http://61.153.247.76/cald/01.gif 2=http://61.153.247.76/cald/02.gif 3=http://61.153.247.76/cald/03.gif 4=http://61.153.247.76/cald/04.gif 5=http://61.153.247.75/cald/05.gif 6=http://61.153.247.75/cald/06.gif 7=http://61.153.247.75/cald/07.gif hos=http://if.iloveck.com/test/hos.gif UpdateMe=http://a.2007ip.com/5949645046.exe (居然还有自动升级程序,汗) tongji=http://if.iloveck.com/test/tongji.htm 更绝的是它会自动检测软驱,并且自我复制到软驱中 至于感染exe文件,我还没有发现,呵呵, 此贴于2007-4-1 16:01:14被枫笑九洲修改 发贴时间:2007-4-1 16:08:35

D盘有些EXE，如果被感染了 重装系统后，病毒会复发么？

【 在 dede97 的大作中提到: 】 : D盘有些EXE，如果被感染了 : 重装系统后，病毒会复发么？ 我觉得断绝他的启动应该不会复发 但有一点就是好像没必要重装系统

【 在 lyx 的大作中提到: 】 : 我觉得断绝他的启动应该不会复发 : 但有一点就是好像没必要重装系统 一点用没有 这是个新木马 目前MS所有杀毒软件都不能清楚

你有按精华贴那样做没?

【 在 dede97 的大作中提到: 】 : D盘有些EXE，如果被感染了 : 重装系统后，病毒会复发么？ 如果被感染了，重装系统后只要运行被感染的程序必须会复发啊

【 在 zwz 的大作中提到: 】 : 如果被感染了，重装系统后只要运行被感染的程序必须会复发啊 不一定...

【 在 kissblue 的大作中提到: 】 : 不一定... 看是哪种感染了。如果是 exe捆绑方式感染的话运行必然复发，如果是插入dll的话那把dll清了就没问题了

【 在 dede97 的大作中提到: 】 : 一点用没有 : 这是个新木马 : 目前MS所有杀毒软件都不能清楚 那就手动清除呗