收藏本站
切换到宽版

 找回密码
 注册

QQ登录

只需一步,快速开始

=|HERO|=战队»黑肉论坛 =|HERO|=游戏纪念馆 =|HERO|=战地2[BF2]分队 帮帮我吧。。。看看这些都是什么东西
12下一页
返回列表 发新帖
查看: 1351|回复: 17

帮帮我吧。。。看看这些都是什么东西

[复制链接]
发表于 2007-4-8 13:16:56 | 显示全部楼层 |阅读模式
悬赏1000黑肉盾未解决
刚做完系统" m2 C) J6 Y$ |1 F; l5 f

2 t+ r* W9 H" g! t又用AVG在安全模式下杀了一次
  @' }! L/ t( {) M0 _2 ~& Y4 {5 p- E" G& F: D4 P! b
又出现这么些进程帮我看看0 O7 g3 G% K' t) ^. O. B* t

$ z/ L5 O+ w# T& s  G$ u7 K5 D正常时候只有190 `# x! F3 h; v% T

- _" L1 [1 Y7 v/ `帮我解决下" E& Z' Y/ Y1 }; i: s% C+ q* t
4 _6 W9 b  ?% L
事的起因是因为卡在欢迎使用画面
% l, ~5 f4 T' E8 D9 J
; y/ r1 r+ @* a' Z  s( z现在还没彻底解决
2 F$ Z( R6 h/ o: V
# ?2 }9 V' i- c% \) o帮帮忙
4 @5 Z" e; ]& o2 w
  u7 k0 k! b0 {9 y' O快帮我看看~
& C, R5 e! D3 t+ x1 f8 Z5 T8 [  o
+ C; H( H; {7 b' R[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

回复

使用道具 举报

great_king
发表于 2007-4-8 13:21:00 | 显示全部楼层
病毒?
回复

使用道具 举报

pwch
发表于 2007-4-8 13:25:00 | 显示全部楼层
转:% U! c" I) a5 d! F3 e2 Y8 x6 ]
) w! y- L2 C+ e: @( G/ z
清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe
9 p. P" y' u6 J% P' t: A3 b 5 L6 v* d/ L) U4 |8 Q; D. ]
1,下载2007新版威金专杀工具,费尔托斯特安全...
; l; f+ T; \; R+ X9 a2,卸载QQ,删除安装文件夹,
9 U& m0 H7 ~1 T3. 杀毒前关闭系统还原(Win2000系统可以忽略):右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。 : C+ U: e' ^! O  u5 L
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
+ \' c! m- w$ Q0 v4 {2 O1 [  b& k4 x关闭MSN应用程序。
* a  c+ D" x$ b1 ?4 }进行如下操作前,请不要进行任何双击打开磁盘的操作。
$ X. h, B: M" N8 s$ I6 \. c4,用威金专杀工具扫描电脑.7 }0 Q# ~- o4 `( @$ S/ |3 b) V
5,以上完成后,使用费尔托斯特安全  A! d+ N7 o  N
以上完成重起电脑就可以了.
( M" K7 A0 c" I注意:使用2007新版威金专杀工具时,
4 x: f2 I$ B! v  c' k7 m1。系统是XP,运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ,下载控件放到SYSTEM32,再运行即可!0 _* m. u& k. a0 N& y) A
2。由于在恢复的过程中没有用到多线程导致的容易假死,属于正常现象。 小一点的exe文件应该停顿不严重,大一点的就会停顿。耐心等一下就过去了。
回复

使用道具 举报

pwch
发表于 2007-4-8 13:26:04 | 显示全部楼层
转:
7 @" i1 j+ c: D0 T
. [( O  H* g  ]& R
8 J2 K2 I2 }- Z! Y! b木马:Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静
  [& o, w  o, U8 g该木马运行后,访问网络下载多个木马程序。生成以下文件:
" J; K: c$ a( ]( QC:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll
$ }' q2 J2 t7 n$ I, Y2 j0 W+ V& }C:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE
* Q- b: m! g, S& f5 O& D0 hC:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE% A! z4 [/ b* l. w
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll) B% l7 {# r) A
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll
: q4 o* F1 _/ @: U  R$ o  KC:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys
0 x  c9 D, T( N1 I7 I8 L( xC:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
/ @; a1 v8 a9 r7 c3 i3 M, ~C:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll
- f. \! M+ I- w6 }: ?+ ^( }9 r# sC:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE
/ \$ S/ q/ R3 Q5 p  _. u$ r: kC:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe
! k5 D$ y1 X2 @C:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe: j( k3 M4 _+ L  y5 r
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll
1 q0 H0 G7 l7 e: r# H, z6 f' x: mC:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll
7 M3 |( x1 d7 BC:\Program Files\Internet Explorer\Connection Wizard\isignup.bak9 `6 D3 |+ t% Y
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll) E8 b+ ]* ?* q0 w$ H9 x
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys' k8 v5 }! u- [$ E. @
C:\WINDOWS\cmdbcs.exe1 W) @& ]9 w% ]
C:\WINDOWS\mhs3.exe
: e! @& b+ ^! D! j& E) W: d. L6 Y2 l( HC:\WINDOWS\mppjds.exe4 A- R" l( a1 @* W
C:\WINDOWS\msccrt.exe
1 a( `$ G. e4 I% A- \, I6 j5 lC:\WINDOWS\wgs3.exe! E# ~8 w5 s+ ~$ @0 b9 ^/ o' r
C:\WINDOWS\wsttrs.exe( U3 b/ Q  D; q$ a- d6 V' K6 o4 N
C:\WINDOWS\system32\cmdbcs.dll) Z+ t" a& S9 L8 }( i2 e  ?4 S
C:\WINDOWS\system32\rund1132.exe. ^3 c  I- ]/ P' M) a7 q. ?/ H( k
C:\WINDOWS\system32\twunk32.exe8 X- j6 ~8 o1 a6 h; R: j6 p3 K  N( ?
C:\WINDOWS\system32\wsttrs.dll
4 ^9 C' H. ]! q5 L' FC:\WINDOWS\system32\drivers\npf.sys
, Q. h* h% z  [* ~& r1 SC:\WINDOWS\system32\drivers\usbme.sys
* P) L' d  L" m/ X4 N& ?) m) P( z: Y重点:C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe
$ r" _) v- @4 G9 e7 u3 l/ R4 f并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件!& M! j. ]. g' f. O2 o, _

8 r  r8 m& T' U1 ?" D2 l. ?0 a- F添加注册表启动项:
: Q7 k( i+ O1 s[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]; e5 l" P: p, M* S; ^, K
"ravshell"="C:\windows\system32\rund1132.exe") o$ e5 T& b0 v
6 \8 T' b. Y3 n, J3 Y$ l
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]6 W- u" L, c' h: u( ~  ?
"mhs3"="C:\windows\mhs3.exe"
$ @6 ^! s( p- g6 ["msccrt"="C:\windows\msccrt.exe"
6 O3 X) H5 K& }3 D$ F: V8 Y"cmdbcs"="C:\windows\cmdbcs.exe"' i9 p$ G$ y- y9 D
"mppjds"="C:\windows\mppjds.exe"
: b$ f2 }% ]0 Z1 g3 d/ `"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"' v3 w  |8 T4 q6 R+ M" y3 d9 A
"wgs3"="C:\windows\wgs3.exe"7 k' i% @, q  a9 t5 |% j' R
"wsttrs"="C:\windows\wsttrs.exe"1 K5 u+ [  @  y: R! r8 {2 W8 h

! M! p5 J: x1 u" E6 U[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
# R; x) j& A" a2 X' C4 ?) ~+ ^"twin"="C:\windows\system32\twunk32.exe"* u. o& U8 T, T* D$ q. C
4 x6 r, {5 v7 t, u
添加注册表项目:
' ]; z) C, c# A# n9 f+ h[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd"
) g( ?3 w: w4 e% Q( S/ }9 I2 d[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"
( e9 K4 n' A+ h% L1 h6 ]5 p9 t, Y0 e, U
7 h) \- d. _% e  n  D: Y并禁用了常用杀软的服务!
! G( T$ L& V  ~. c' X* a. X7 K; y5 d5 r8 g( k% B
手工查杀方法:
& `+ v8 A+ }' F. m8 i* k5 M" J1.用冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”(隐藏进程,红色显示)如图1
$ [1 h: L( A0 Y. o, ?1 [
# Z& C; g! A" ?* }" x# d% U- I; H% q7 b
2.用金山反间谍找到以上病毒文件!(复制路径,修改自身的用户名到查找文件窗口,点击彻底删除即可)如图2:
$ n# r0 _6 s; j* H) ~
6 _8 V& x7 h7 U3 E! R  `% Q8 C$ N' n/ k, M) `8 i9 l! _
3.删除以上病毒添加的注册表项目!# P4 e; g) V8 a$ a2 R8 j, s0 g
1 w1 w0 h) X- N% J2 k6 a1 h
4.重新启动计算机!并清空IE缓存和自己的临时文件夹,并恢复自己的杀软件服务!
回复

使用道具 举报

发表于 2007-4-8 13:26:31 | 显示全部楼层
楼上的强人啊) n- D) z2 R( w/ v) d$ Q1 }* ~/ n

6 v9 h6 a  j; a+ J- ^9 J$ }最好装个卡巴
回复

使用道具 举报

发表于 2007-4-8 13:28:48 | 显示全部楼层
svchost,lsass,smss这几类文件可能有问题,照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:30:38 | 显示全部楼层
好像是中威金了?
# s2 W. b; W( ]7 O0 w# ?( R8 G0 W3 ?7 s. K- l
中它会出现什么情况?
回复

使用道具 举报

发表于 2007-4-8 13:34:34 | 显示全部楼层
裂痕没事都区什么网站啊   老是出问题。。。。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:35:13 | 显示全部楼层
操。我还没来得及上网就出现病毒了
回复

使用道具 举报

pwch
发表于 2007-4-8 13:38:15 | 显示全部楼层
8 h( ?' k4 ]. m1 Q& R

9 `1 E% ^" l  D/ O清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe) Z6 y9 w. U* D, m$ z- p  L

$ r8 V+ M* h) b/ E! {# D

/ g7 B/ [" I( I" g3 b+ C' v
" D  T8 {7 \, m- c% F/ k! \根据SREng扫描日志请按照如下步骤,尝试删除和修复3 ]3 d0 u, U- K' Z1 ^

& Y) b2 ]. y9 p运行SRENG--->启动项目--->注册表--->删除以下注册表2 k8 a4 {2 f1 q$ ?' l! E; A
<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   [Microsoft Corporation] * ]/ \1 W4 O/ q9 ?1 ]) B
<cmdbcs><; C:\WINDOWS\cmdbcs.exe>   [N/A]
$ |" P$ o: A7 ]( d9 T     <mppds><; C:\WINDOWS\mppds.exe>   [N/A] 1 S" Z& J. b; N2 J) l
     <msccrt><; C:\WINDOWS\msccrt.exe>   [N/A] + u: @: n" D. o. C! r& A# u
     <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   []
5 X  W! D0 F0 y( ~2 q/ W# F" L3 N     <winform><; C:\WINDOWS\winform.exe>   [N/A] # N& _6 x1 p/ I: m1 p9 k( U
     <wsttrs><; C:\WINDOWS\wsttrs.exe>   [N/A] 2 P; z& g  Q! A% I2 F2 I3 I, G
<twin><C:\WINDOWS\system32\twunk32.exe>   []
/ k" p% H6 |9 y8 a2 O+ n7 [. m$ [9 L$ @. u( d* X# L% j
运行SRENG--->启动项目--->注册表--->
) h% @; }; q3 Y& z/ Q" n- l/ m[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] . U' p' j: v+ S3 b' q$ ?
     <load><; ?粓? 6 r1 |; o; f: |; N' c6 b! Q+ ~) g* C
? >   [N/A] 0 y$ i( s7 K. s3 c! o. P' v- |0 I9 s, P
--->编辑为( r8 a) r4 O) c% u" a- x( N  y( b% A: C
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
8 r7 o+ |2 |# H! t& }     <load> [N/A] / U, L* d& C' p$ k! ?

4 o3 M: W% v$ Q5 r6 F! K8 N1 K7 k  M% H1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 : h. ^6 D% v' p3 R5 I, R' q
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。 3 K1 o8 b- O: L! W6 n. N+ a
关闭QQ等应用程序。   r" E: O# c* {  A# ^1 c6 G
进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
3 o" q( Q0 p; B' [
& d- Y) M$ c; w9 c" z- U% V5 {2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip5 Q$ ~/ R! o+ j; K$ x
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】
1 A' N: \5 }) e* R( v# iC:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe
0 S  U% `5 y, |! v1 {C:\WINDOWS\cmdbcs.exe" N) O2 l* D0 f) L
C:\WINDOWS\mppds.exe
8 F$ S- \& c3 Z6 EC:\WINDOWS\msccrt.exe
+ W# V& h* b0 I0 @7 tC:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe" L3 T) |8 g  T/ O1 T- @
C:\WINDOWS\winform.exe& n! [) v0 f3 q$ l% R* l, B6 h
C:\WINDOWS\wsttrs.exe0 y: m* G- ?- [, b0 f  i6 {
C:\WINDOWS\system32\twunk32.exe
, B) ]6 A; r5 t- a% i- Q* VC:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe
# ?! Y: o! i6 o. _# y% P7 \( E/ ~0 E9 }; ?0 u
卸载QQ,删除安装文件夹,重装。
6 p8 a; Y, s  B+ z: R1 y( w& {1 I' X! V9 n
回复

使用道具 举报

发表于 2007-4-8 13:39:11 | 显示全部楼层
http://www.jiangmin.com/download/zhuansha04.htm
回复

使用道具 举报

发表于 2007-4-8 13:41:00 | 显示全部楼层
恭喜啊,威金,用NOD32杀吧,用卡巴当心你的EXE都掉了。
回复

使用道具 举报

发表于 2007-4-8 13:42:43 | 显示全部楼层
肥水不流外人田,盾给偶吧。
回复

使用道具 举报

mrsobo
发表于 2007-4-8 15:28:20 | 显示全部楼层
楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。1 v0 t7 G9 d. I, J
$ ~7 S. o2 }3 J* `/ S/ x# w( }
具体操作可以联系我,包杀包埋!
+ @. U9 H1 k" [黑肉顿不要。免费咯!  c0 ?8 j- y6 ^4 L0 z- H" F

) i. O+ S! a" |- P
6 f. Z& G( J# P* J: j
) m+ d* w2 k7 u) q; c钱是浮云啊\``~~~
回复

使用道具 举报

发表于 2007-4-8 16:29:26 | 显示全部楼层
估计LZ的XP安装盘有病毒...........
回复

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|=|HERO|=战队 ( 皖ICP备19020640号 )|网站地图

GMT+8, 2026-2-7 01:37

Powered by Discuz! X3.5 Licensed

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表