今天依旧，很多人中了这个sysload3.exe 瑞星在19.16.60版本进行了紧急升级 并发布了一个病毒快讯 （http://it.rising.com.cn/Channels/Info/Virus/2007-04-01/1175401155d41294.shtml）

并且逐渐发现这个病毒类似熊猫，威金等病毒 会从网络上下载病毒

下载的病毒通过sreng 日志观察如下

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\crasos.exe> [N/A]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\c0nime.exe> [N/A]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\rundl132.exe> [N/A]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\winlog0n.exe> [N/A]
<sysload><C:\windows\system32\sysload3.exe> [N/A]
<upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A]
<cmdbcs><C:\DOCUME~1\用户名\LOCALS~1\Temp\cmdbcs.exe> [N/A]
<wq13cfse><C:\DOCUME~1\Grand\LOCALS~1\Temp\iexpl0re.exe>   [N/A]

并且在临时文件夹中释放

c0nime.exe
crasos.exe
gjzo0.dll
iexpl0re.exe
lgsy0.dll
lgsy1.dll
msxo0.dll
rav20.dll rundl132.exe
upxdnd.exe
upxdnd.dll
winlog0n.exe等病毒

读取病毒配置文件

[config]
Version=1.0.6
NUM=7
1=http://61.153.247.76/cald/01.gif
2=http://61.153.247.76/cald/02.gif
3=http://61.153.247.76/cald/03.gif
4=http://61.153.247.76/cald/04.gif
5=http://61.153.247.75/cald/05.gif
6=http://61.153.247.75/cald/06.gif
7=http://61.153.247.75/cald/07.gif
hos=http://if.iloveck.com/test/hos.gif
UpdateMe=http://a.2007ip.com/5949645046.exe

tongji=http://if.iloveck.com/test/tongji.htm

下载病毒1.exe～7.exe至系统文件夹

以上信息

引自卡卡社区 枫笑九州 帖子 及http://forum.ikaka.com/topic.asp?board=28&artid=8290848的日志内容 在此表示感谢

清除病毒步骤如下

安全模式下

打开sreng 启动项目   注册表 删除如下项目

<sysload><C:\windows\system32\sysload3.exe> [N/A]

以及所有临时文件夹下的文件创建的启动项目

清空临时文件夹

删除系统文件夹下的1.exe~7.exe，sysload3.exe和cmdbcs.dll

在sreng里,系统修复-->host文件-->重置

由于病毒还会感染exe 等文件 所以需要使用杀毒软件杀毒

升级杀毒软件至最新版本 （瑞星19.16.60以后的版本）全盘杀毒