upxdnd.exe 机器狗新的变种！100%穿透冰点和硬还原卡

可怕的熊猫烧香刚过，又来了一个什么征途木马病毒，这个木马也是很难清除，而且这几天中此木马的人也挺多的，前天我也“有幸”中了此病毒（当时心理挺火的），现在已经解决。应首页修复之家管理员bark朋友之约，今天就此问题来和大家进行一些讨论，同时希望能给大家查杀此毒一个启示，哈哈，言规正传。

首先我们来谈谈此病毒的一些特征及藏身之地

首先会在临时文件夹里面生成以下文件：

C:\ Documents and Settings\用户名\LOCALS~1\Temp\upxdnd.dll

C:\ Documents and Settings\用户名\LOCALS~1\Temp\upxdnd.exe

C:\ Documents and Settings\用户名\LOCALS~1\Temp\crasos.exe

C:\Documents and Settings\用户名\LOCALS~1\Temp\iexpl0re.exe

C:\Documents and Settings\用户名\LOCALS~1\Temp\此目录下病毒文件名一般是[1].gif [2].gif [3].gif ~~ [7].gif


系统文件下生成：

C:\WINDOWS\system32\cmdbcs.dll

C:\WINDOWS\system32\sysload3.exe （必须首先用费尔工具或其它工具除掉，而且要抑制其生成，）

当电脑重启后会在C:\WINDOWS\system32 此系统目录下生成如:1.exe 2.exe 3.exe 4.exe 5.exe 6.exe


修改注册表文件：

HKEY有几个我在这里就省了\Software\Microsoft\Windows\CurrentVersion\Run 会出现有关upxdnd crasos iexpl0re 数值

如：HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run

"upxdnd"="C:\DOCUME~1\Admin\LOCALS~1\Temp\upxdnd.exe


修改Hosts文件：（hosts文件路径C:\WINDOWS\system32\drivers\etc）

127.0.0.1 localhost

127.0.0.1 mmm.XXXX.net

127.0.0.1 do.XXXX.com

127.0.0.1 www.XXXX.com

127.0.0.1 XXXX.cn

127.0.0.1 222.73.220.45

127.0.0.1 www.XXXX.com

127.0.0.1 www.XXXX.cn

127.0.0.1 wm,XXXX.com

127.0.0.1 www.XXXX.cn

（里面有很多网址我用XXXX代替免得帮他们做广告，哈哈）


知道了它的特征，我们就可以开始处理它了，首先我们断开网络。

进入安全模式，哈哈，其它我是没有进入安全模式的。

第一步：用费尔工具将C:\WINDOWS\system32\sysload3.exe 文件清除并抑制其生成。将C:\WINDOWS\system32目录下的1.exe 2.exe 3.exe 4.exe 5.exe 6.exe 将其直接删除。

第二步：清除临时文件夹所有文件，不能手动删除的用费尔工具将其删除

第三步：运行-----CMD----msconfig命令（此命令只能在winXP、2003使用，如果想在win2K下使用就需要复制msconfig文件到系统目录下） 将启动项upxdnd.exe 及crasos.exe 前面的勾去掉。

第四步：运行----regedit 打开注册表 查找sysload3.exe 及upxdnd.exe 、crasos.exe，将其涉及到的项、值、数据删除。

第五步：找到hosts文件保留 127.0.0.1 localhost 将其它的127.0.0.1 后面跟的所有网址全部删除。

好了，我的处理方式就是这样的，五步就搞定了。


以上仅供参考，此文由万司通计算机信息技术工作室 面点男孩总结编写。步骤不一定要按我写的步骤进行。如果经实践以上方法有效欢迎转载。费尔强力清除工具可以到流氓怕武术网站下载