Trojan.PSW.OnlineGames.XX相关病毒

最近很多人中了木马群cmdbcs.exe，wsttrs.exe，msccrt.exe，winform.exe,upxdnd.exe等 这个应该是通过木马下载器下载所致 这些基本上都是些盗号木马

一般sreng日志表现如下：

启动项目里 (不一定全)
<wsttrs><C:\windows\wsttrs.exe> [Microsoft Corporation]
<svc><C:\DOCUME~1\用户名\LOCALS~1\Temp\byetmr.exe> [Microsoft Corporation]
<g1q><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> []
<upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [Microsoft Corporation]
<winform><C:\WINDOWS\winform.exe> [N/A]
<ravshell><C:\WINDOWS\system32\SVCH0ST.exe> []
<upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> [N/A]
<mppds><C:\WINDOWS\mppds.exe> [N/A]
<nortonq><C:\WINDOWS\nortonq.exe> []
<System><C:\Program Files\Common Files\System\Updaterun.exe> [N/A]
<5cl3v><C:\DOCUME~1\用户名\LOCALS~1\Temp\servicer.exe> []
<mppdys><C:\WINDOWS\mppdys.exe> []
<mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<wgs3><C:\WINDOWS\wgs3.exe> []
<wms3><C:\WINDOWS\wms3.exe> []
<twin><C:\WINDOWS\system32\twunk32.exe> []
<wsttrs><rem c:\windows\wsttrs.exe> []
<wsdttrs><C:\WINDOWS\wsdttrs.exe> []
<dcoh><C:\WINDOWS\dcoh.exe> []
<upxdnd><C:\Windows\Temp\upxdnd.exe> [N/A]
另外
C:\WINDOWS\mppds.exe
C:\WINDOWS\winform.exe
c:\windows\wsttrs.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\wsdttrs.exe
C:\WINDOWS\nortonq.exe
C:\WINDOWS\dcoh.exe等病毒每个会释放一个dll 插入explorer等进程

解决办法：

如果在进程里看见了类似情况，请按照以下步骤操作 安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统) 打开sreng 启动项目 注册表 删除如下项目 (有哪个删哪个) <wsttrs><C:\windows\wsttrs.exe> [Microsoft Corporation] <winform><C:\WINDOWS\winform.exe> [N/A] <ravshell><C:\WINDOWS\system32\SVCH0ST.exe> []（注意中间是数字0，不是字母O) <cmdbcs><C:\WINDOWS\cmdbcs.exe> [N/A] <mppds><C:\WINDOWS\mppds.exe> [N/A] <nortonq><C:\WINDOWS\nortonq.exe> [] <System><C:\Program Files\Common Files\System\Updaterun.exe> [N/A] <mppdys><C:\WINDOWS\mppdys.exe> [] <msccrt><C:\WINDOWS\msccrt.exe> [] <wgs3><C:\WINDOWS\wgs3.exe> [] <wms3><C:\WINDOWS\wms3.exe> [] <twin><C:\WINDOWS\system32\twunk32.exe> [] <wsttrs><rem c:\windows\wsttrs.exe> [] <wsdttrs><C:\WINDOWS\wsdttrs.exe> [] <dcoh><C:\WINDOWS\dcoh.exe> [] <upxdnd><C:\Windows\Temp\upxdnd.exe> [N/A] 以及所有的Temp文件夹下的文件建立的启动项目(即类似<5cl3v><C:\DOCUME~1\用户名\LOCALS~1\Temp\servicer.exe> []的项目） 然后 删除上述对应文件 和C:\WINDOWS\system32\wsttrs.dll C:\WINDOWS\system32\wsdttrs.dll C:\WINDOWS\system32\winform.dll C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\system32\mppds.dll C:\WINDOWS\system32\mppdys.dll C:\WINDOWS\system32\msccrt.dll C:\WINDOWS\system32\wsttrs.dll C:\WINDOWS\system32\nortonq.dll C:\WINDOWS\system32\dcoh.dll 4.4更新<upxdnd><C:\Windows\Temp\upxdnd.exe> [N/A] 4.5更新<dcoh><C:\WINDOWS\dcoh.exe> [] 清空临时文件夹 即C:\Documents and Settings\用户名\Local Settings\Temp 和C:\Windows\Temp 如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe 如果哪位网友有发现新情况可以和我交流 我会及时补充

以上提到的软件均可到该地址下载：下载地址: http://down.45its.com（SREng 也可到该地址下载）