删除wsttrs.exe等系列病毒的清除技巧

病毒文件包括：608769M.BMP crasos.exe Kernelmh.exe servet.exe ntmsoprq.exe RpcS.exe compmgmt.exe upxdnd.dll mppds.dll cmdbcs.dll wsttrs.exe prnmngr.exe iexpl0re.exe rundl132.exe update3.exe Servere.exe NewInfo.rxk 

这也不知道什么病毒，是在浏览某个网页时中招的，只要中毒后会在你的硬盘中生成一堆病毒文件，分布在多个系统盘的文件夹中。

据我观察，这个病毒的危害是在网上自动下载其它病毒文件，开机后自动启动cmd.exe，这个程序狂占内存与CPU，机器巨慢，任务管理器中能发现上面那些破文件，还有两个iexplore.exe运行。

杀毒原则：进入安全模式，在服务中找到加载wsttrs.exe这个程序的服务名，禁用。
硬盘搜索上面那些文件名，全部删掉，进入注册表搜索以上相关名字，统删！

我就是这样搞定的，推荐下面一篇相关技术文件，供参考。

——————————————————————————————————————————————

首先，清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

用SRE删除以下注册表项：
<cmdbcs><C:\WINDOWS\cmdbcs.exe>
<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update3.exe>
<mppds><C:\WINDOWS\mppds.exe>
<twin><C:\WINDOWS\system32\twunk32.exe> 
<><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk>
<compmgmt><; C:\WINDOWS\system32\compmgmt.exe>
<iz46z07lw><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe> 
<kernelmh><; C:\WINDOWS\Kernelmh.exe>
<ntmsoprq><; C:\WINDOWS\system32\ntmsoprq.exe> 
<qt3ii85kvbfc><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servere.exe>
<scrnsave><; C:\WINDOWS\system32\prnmngr.exe> 
<upxdnd><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update3.exe>
<viq88><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe>
<wsttrs><; C:\WINDOWS\wsttrs.exe>
<yi4jgw1ff><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe>  

用SRE修复以下注册表项：
    <AppInit_DLLs><608769M.BMP> 

用SRE删除以下服务项：
Remote Procedure Call System(RPCS) / RpcS
Windows SystemDown / WindowsDown  

用unlocker删除以下文件：
C:\WINDOWS\system32\mppds.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\compmgmt.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe
C:\WINDOWS\608769M.BMP
C:\WINDOWS\system32\servet.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\system32\ntmsoprq.exe
C:\WINDOWS\Kernelmh.exe
C:\WINDOWS\system32\RpcS.exe
C:\WINDOWS\system32\prnmngr.exe
C:\WINDOWS\mppds.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servere.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update3.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 

最后重新启动电脑。病毒就被搞定了！