征途木马 upxdnd.exe upxdnd.dll crasos.exe iexpl0re.exe 查杀

可怕的熊猫烧香刚过，又来了一个什么征途木马病毒，这个木马也是很难清除，而且这几天中此木马的人也挺多的，前天我也“有幸”中了此病毒（当时心理挺火的），现在已经解决。应首页修复之家管理员bark朋友之约，今天就此问题来和大家进行一些讨论，同时希望能给大家查杀此毒一个启示，哈哈，言规正传。
首先我们来谈谈此病毒的一些特征及藏身之地
首先会在临时文件夹里面生成以下文件：
C:\ Documents and Settings\用户名\LOCALS~1\Temp\upxdnd.dll
C:\ Documents and Settings\用户名\LOCALS~1\Temp\upxdnd.exe
C:\ Documents and Settings\用户名\LOCALS~1\Temp\crasos.exe
C:\Documents and Settings\用户名\LOCALS~1\Temp\iexpl0re.exe
C:\Documents and Settings\用户名\LOCALS~1\Temp\此目录下病毒文件名一般是[1].gif  [2].gif  [3].gif  ~~ [7].gif

系统文件下生成：
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\sysload3.exe （必须首先用费尔工具或其它工具除掉，而且要抑制其生成，）
当电脑重启后会在C:\WINDOWS\system32 此系统目录下生成如:1.exe 2.exe 3.exe 4.exe 5.exe 6.exe

修改注册表文件：
HKEY有几个我在这里就省了\Software\Microsoft\Windows\CurrentVersion\Run 会出现有关upxdnd  crasos  iexpl0re 数值
如：HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
"upxdnd"="C:\DOCUME~1\Admin\LOCALS~1\Temp\upxdnd.exe

修改Hosts文件：（hosts文件路径C:\WINDOWS\system32\drivers\etc）
127.0.0.1      localhost
127.0.0.1      mmm.XXXX.net
127.0.0.1      do.XXXX.com
127.0.0.1      www.XXXX.com
127.0.0.1      XXXX.cn
127.0.0.1      222.73.220.45
127.0.0.1      www.XXXX.com
127.0.0.1      www.XXXX.cn
127.0.0.1      wm,XXXX.com
127.0.0.1      www.XXXX.cn
（里面有很多网址我用XXXX代替免得帮他们做广告，哈哈）

知道了它的特征，我们就可以开始处理它了，首先我们断开网络。
进入安全模式，哈哈，其它我是没有进入安全模式的。
第一步：用费尔工具将C:\WINDOWS\system32\sysload3.exe 文件清除并抑制其生成。将C:\WINDOWS\system32目录下的1.exe 2.exe 3.exe 4.exe 5.exe 6.exe 将其直接删除。
第二步：清除临时文件夹所有文件，不能手动删除的用费尔工具将其删除
第三步：运行-----CMD----msconfig命令（此命令只能在winXP、2003使用，如果想在win2K下使用就需要复制msconfig文件到系统目录下） 将启动项upxdnd.exe 及crasos.exe 前面的勾去掉。
第四步：运行----regedit 打开注册表 查找sysload3.exe 及upxdnd.exe 、crasos.exe，将其涉及到的项、值、数据删除。
第五步：找到hosts文件保留 127.0.0.1      localhost    将其它的127.0.0.1 后面跟的所有网址全部删除。
好了，我的处理方式就是这样的，五步就搞定了。