删除wsttrs.exe等系列病毒的清除技巧
来自:MACD论坛(bbs.macd.cn)
作者:guyou888
浏览:1870
回复:0
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
病毒文件包括:608769M.BMP crasos.exe Kernelmh.exe servet.exe ntmsoprq.exe RpcS.exe compmgmt.exe upxdnd.dll mppds.dll cmdbcs.dll wsttrs.exe prnmngr.exe iexpl0re.exe rundl132.exe update3.exe Servere.exe NewInfo.rxk
这也不知道什么病毒,是在浏览某个网页时中招的,只要中毒后会在你的硬盘中生成一堆病毒文件,分布在多个系统盘的文件夹中。
据我观察,这个病毒的危害是在网上自动下载其它病毒文件,开机后自动启动cmd.exe,这个程序狂占内存与CPU,机器巨慢,任务管理器中能发现上面那些破文件,还有两个iexplore.exe运行。
杀毒原则:进入安全模式,在服务中找到加载wsttrs.exe这个程序的服务名,禁用。
硬盘搜索上面那些文件名,全部删掉,进入注册表搜索以上相关名字,统删!
我就是这样搞定的,推荐下面一篇相关技术文件,供参考。
首先,清除IE的临时文件:打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。
用SRE删除以下注册表项:
{cmdbcs}{C:WINDOWScmdbcs.exe}
{upxdnd}{C:DOCUME~1ADMINI~1LOCALS~1Tempupdate3.exe}
{mppds}{C:WINDOWSmppds.exe}
{twin}{C:WINDOWSsystem32twunk32.exe}
{}{C:Program FilesCommon FilesMicrosoft SharedMSINFONewInfo.rxk}
{compmgmt}{; C:WINDOWSsystem32compmgmt.exe}
{iz46z07lw}{; C:DOCUME~1ADMINI~1LOCALS~1Tempcrasos.exe}
{kernelmh}{; C:WINDOWSKernelmh.exe}
{ntmsoprq}{; C:WINDOWSsystem32ntmsoprq.exe}
{qt3ii85kvbfc}{; C:DOCUME~1ADMINI~1LOCALS~1TempServere.exe}
{scrnsave}{; C:WINDOWSsystem32prnmngr.exe}
{upxdnd}{; C:DOCUME~1ADMINI~1LOCALS~1Tempupdate3.exe}
{viq88}{ C:DOCUME~1ADMINI~1LOCALS~1Temprundl132.exe}
{wsttrs}{; C:WINDOWSwsttrs.exe}
{yi4jgw1ff}{; C:DOCUME~1ADMINI~1LOCALS~1Tempiexpl0re.exe}
用SRE修复以下注册表项:
{AppInit_DLLs}{608769M.BMP}
用SRE删除以下服务项:
Remote Procedure Call System(RPCS) / RpcS
Windows SystemDown / WindowsDown
用unlocker删除以下文件:
C:WINDOWSsystem32mppds.dll
C:DOCUME~1ADMINI~1LOCALS~1Tempupxdnd.dll
C:WINDOWSsystem32cmdbcs.dll
C:WINDOWSsystem32compmgmt.exe
C:DOCUME~1ADMINI~1LOCALS~1Tempcrasos.exe
C:WINDOWS8769M.BMP
C:WINDOWSsystem32servet.exe
C:WINDOWSwsttrs.exe
C:WINDOWSsystem32ntmsoprq.exe
C:WINDOWSKernelmh.exe
C:WINDOWSsystem32RpcS.exe
C:WINDOWSsystem32prnmngr.exe
C:WINDOWSmppds.exe
C:DOCUME~1ADMINI~1LOCALS~1TempServere.exe
C:DOCUME~1ADMINI~1LOCALS~1Tempupdate3.exe
C:DOCUME~1ADMINI~1LOCALS~1Temprundl132.exe
C:DOCUME~1ADMINI~1LOCALS~1Tempiexpl0re.exe
C:Program FilesCommon FilesMicrosoft SharedMSINFONewInfo.rxk
最后重新启动电脑。病毒就被搞定了!
注:本文中的{ }实为〈 〉 | 
发表于 2009-1-4 09:15
|
陕ICP19026207号—2 陕ICP备20004035号
