收藏本站
切换到宽版

 找回密码
 注册

QQ登录

只需一步,快速开始

=|HERO|=战队»黑肉论坛 =|HERO|=游戏纪念馆 =|HERO|=战地2[BF2]分队 帮帮我吧。。。看看这些都是什么东西
12下一页
返回列表 发新帖
查看: 1437|回复: 17

帮帮我吧。。。看看这些都是什么东西

[复制链接]
发表于 2007-4-8 13:16:56 | 显示全部楼层 |阅读模式
悬赏1000黑肉盾未解决
刚做完系统0 l1 K( ?, K+ D- I

. V- d/ \' M4 R4 `) D/ G# I% k又用AVG在安全模式下杀了一次% C% C& r) E2 |" w
4 h" e  ~* {: ?( e/ x8 W8 _* F
又出现这么些进程帮我看看& Y9 n& a8 e: H# g8 }5 T
! u: V& i' H1 G8 {8 v0 @
正常时候只有19
) D3 Q8 V  J2 H  d+ b6 u, T
5 m' a. ?3 P6 A8 `0 q帮我解决下
; y3 V+ C9 v4 x$ C, h, T
- H, Y% l) ^1 s9 ?事的起因是因为卡在欢迎使用画面
5 {, @$ U7 T1 n7 }7 j- ?- X. e* e. \( R
现在还没彻底解决
( [9 g- `) p, ?# Z: u0 x1 I7 d1 j7 l' W  M" L! H
帮帮忙
, ~- s- w" _: |1 n% m+ P8 n3 r- T* @9 H! p
快帮我看看~
1 w* d" t. R" B. l1 W4 n: W
' F6 k! Z3 t. n. d0 _2 `, R[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

回复

使用道具 举报

great_king
发表于 2007-4-8 13:21:00 | 显示全部楼层
病毒?
回复

使用道具 举报

pwch
发表于 2007-4-8 13:25:00 | 显示全部楼层
转:; O! L! U# x( s" D. `" l/ p% a

0 U, e$ X9 q$ h  M' [+ v5 c3 s清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe
8 T- ^3 f3 j' ]' n4 Z6 [& Z: s$ H + _1 q6 k; X+ G
1,下载2007新版威金专杀工具,费尔托斯特安全...
8 m+ @8 R% m  V. A* |2,卸载QQ,删除安装文件夹,
8 |5 a8 d3 F3 {; V3. 杀毒前关闭系统还原(Win2000系统可以忽略):右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。
* F  ?2 @1 Q6 z8 \$ g清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
) i9 i+ w3 o8 T: U8 R3 I关闭MSN应用程序。
! z: V8 U9 M1 ^0 U3 D. v进行如下操作前,请不要进行任何双击打开磁盘的操作。
: a9 r! o4 o7 p' C1 a4,用威金专杀工具扫描电脑.
1 }. B0 `& ~# F$ ~2 I5,以上完成后,使用费尔托斯特安全! ]$ d& A6 E& o4 M
以上完成重起电脑就可以了.
7 H9 i: F8 ]5 i: ?8 K# b注意:使用2007新版威金专杀工具时,( G; u& A3 _5 l9 n* L
1。系统是XP,运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ,下载控件放到SYSTEM32,再运行即可!) j- d, @& P; {$ j3 \! w
2。由于在恢复的过程中没有用到多线程导致的容易假死,属于正常现象。 小一点的exe文件应该停顿不严重,大一点的就会停顿。耐心等一下就过去了。
回复

使用道具 举报

pwch
发表于 2007-4-8 13:26:04 | 显示全部楼层
转:" }8 G4 K* a/ ^% V* B
& i' g6 J; |" C

6 [2 [6 I& _, x% B2 b5 W木马:Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静 . e1 h5 z# T5 b6 D3 [
该木马运行后,访问网络下载多个木马程序。生成以下文件:1 i. ^# K" U  r8 Z& D
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll% x0 @1 q, i! Y: J' G  n: X/ X
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE4 S" @( H$ h' H4 J8 O& K: G) W/ {, O
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE
8 G( ^7 j1 u" w5 V, E, uC:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll
/ E6 L5 p, J& I% s8 uC:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll7 ?* [" @2 _0 V3 l0 @' q) ]
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys/ p  L; ?* \8 j
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
" U0 A2 ~6 m9 b! }8 m+ i. EC:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll" `3 @. Q) c% p' K
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE
& C$ s. |  y3 R  n, yC:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe
+ z, P* @9 e; {# ~; ]1 OC:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe7 j' T1 r) g- W! h) ?% c& k2 ?+ `
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll; Q3 Z- v: Y' K7 _, W* V
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll7 E2 N$ m5 T6 ^/ J
C:\Program Files\Internet Explorer\Connection Wizard\isignup.bak: E4 x+ t# J: I: z
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
/ g9 `2 H% Q3 q2 _8 }2 [& w/ fC:\Program Files\Internet Explorer\Connection Wizard\isignup.sys& O% d- p. ?/ V$ Y, q) H4 G
C:\WINDOWS\cmdbcs.exe
3 d. g1 [( _5 N( l" I0 m; y$ m! zC:\WINDOWS\mhs3.exe3 |% G- V% Q9 q6 u! `8 S
C:\WINDOWS\mppjds.exe: i8 z- c  R( l: `$ o0 G* n
C:\WINDOWS\msccrt.exe; l! h, D6 t8 V
C:\WINDOWS\wgs3.exe3 b# m/ B, A! P" |8 N
C:\WINDOWS\wsttrs.exe
# u3 F0 S/ x8 \* q" e* dC:\WINDOWS\system32\cmdbcs.dll
' l: v' I' |$ H0 bC:\WINDOWS\system32\rund1132.exe! v: |. m) ^& \7 X# L
C:\WINDOWS\system32\twunk32.exe2 R1 O# T9 }! n- K$ T+ G3 L+ ]% h
C:\WINDOWS\system32\wsttrs.dll! b: y0 R1 l+ Z; d9 s& c) I5 }2 y
C:\WINDOWS\system32\drivers\npf.sys
$ O/ G7 H8 m/ L( F, d; k( R6 gC:\WINDOWS\system32\drivers\usbme.sys  K+ |. d% K& c1 _& ?3 ]/ ^
重点:C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe( d1 e8 ^4 j4 _% j- Y9 Z8 u
并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件!
6 @- i! q/ X5 S; r( B7 ]
) q$ h4 u* |  N, N, E9 q' M/ C2 C添加注册表启动项:& @2 s/ k, e$ o* ]3 f4 ?
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
& \' q- W8 c. L; q% e"ravshell"="C:\windows\system32\rund1132.exe"
3 W2 g6 W. n5 I$ H. H! G7 E" r9 j6 D% ?, r: d" K. \& n  n
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
: T' U9 _) N4 Y* b+ f; y% m+ s"mhs3"="C:\windows\mhs3.exe") ]2 f, u6 h* T& b) M" a) c
"msccrt"="C:\windows\msccrt.exe"( D6 Y# v" ~  Y0 P- ~' ]
"cmdbcs"="C:\windows\cmdbcs.exe"$ g1 e4 r& t9 \! @; R% T/ a
"mppjds"="C:\windows\mppjds.exe"
  D2 J$ r- O* J4 Z' q. _"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"
% J; _! s  j% E5 U2 _"wgs3"="C:\windows\wgs3.exe"9 {* W; L* j( m; }, h  p+ L7 x( X9 M& P9 f
"wsttrs"="C:\windows\wsttrs.exe"6 K) M, E/ ~" n! }- @8 N1 ~

3 L! N- E! `7 `[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]+ l+ Q8 D( s; D( j! u6 i
"twin"="C:\windows\system32\twunk32.exe"+ R" J; k& X" ?. v
2 Z5 u7 P7 j- @$ O
添加注册表项目:  O2 D- y3 ?- v. r2 n) a  i
[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd"5 d6 a4 t& |* ~3 a3 M
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"
: n5 |( }* W! F% B. j" m7 n& P. I' c5 T; n$ r" {
并禁用了常用杀软的服务!( d1 e& |# Q% v2 R
) V- c) x" u3 A$ g; r- B
手工查杀方法:
9 Y- {$ L1 D2 X* z1.用冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”(隐藏进程,红色显示)如图1
7 ]# |  V+ O3 i, I. K  b * B$ |/ P' _) q) Q
+ j0 I( C. r; l+ v, O- O
2.用金山反间谍找到以上病毒文件!(复制路径,修改自身的用户名到查找文件窗口,点击彻底删除即可)如图2:  J$ g! g1 H1 R8 ?: f8 [0 @
( I3 ]; l0 V' |$ Q3 Z( H9 H
4 G$ [" G( g0 S2 C( ^
3.删除以上病毒添加的注册表项目!6 o1 c; u3 s! S8 U5 |) {2 Q

7 k. j2 ^  @( i- V4.重新启动计算机!并清空IE缓存和自己的临时文件夹,并恢复自己的杀软件服务!
回复

使用道具 举报

发表于 2007-4-8 13:26:31 | 显示全部楼层
楼上的强人啊
* Y5 ^5 A3 ?( l9 Q: L- ]+ E' h* R8 z6 d
最好装个卡巴
回复

使用道具 举报

发表于 2007-4-8 13:28:48 | 显示全部楼层
svchost,lsass,smss这几类文件可能有问题,照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:30:38 | 显示全部楼层
好像是中威金了?
# E1 o4 J$ l$ x6 Y& g7 [- w# E% v; _) X# W! @$ t2 L$ D; v5 k
中它会出现什么情况?
回复

使用道具 举报

发表于 2007-4-8 13:34:34 | 显示全部楼层
裂痕没事都区什么网站啊   老是出问题。。。。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:35:13 | 显示全部楼层
操。我还没来得及上网就出现病毒了
回复

使用道具 举报

pwch
发表于 2007-4-8 13:38:15 | 显示全部楼层

, {$ [& k0 M: K
, k6 e% u7 b; Q$ Y* O' {清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe
8 L1 i+ [/ M$ t
9 t3 y/ |: t+ z# ~' F  r

7 I6 u5 e' a9 \7 w. t3 \8 e# c3 x$ ?, J' O7 [2 J2 L
根据SREng扫描日志请按照如下步骤,尝试删除和修复0 K# S' _0 K3 W& J( @
" A3 u" g: K, z8 f
运行SRENG--->启动项目--->注册表--->删除以下注册表
! v+ D, ?2 o; K/ H& i/ `" S<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   [Microsoft Corporation] * @$ ^/ B- F6 e8 x0 {* ~
<cmdbcs><; C:\WINDOWS\cmdbcs.exe>   [N/A]
7 u  \1 m) t2 U) E" }$ r     <mppds><; C:\WINDOWS\mppds.exe>   [N/A]
- a7 \% `( T- Q# _' C+ I1 a* k2 W: I# s     <msccrt><; C:\WINDOWS\msccrt.exe>   [N/A]
; x5 |+ X3 H7 C, y* t8 t     <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   []
, C6 K( y% v3 j& \- M* z     <winform><; C:\WINDOWS\winform.exe>   [N/A]
' s' ?3 `; Z, V! N, ~  A     <wsttrs><; C:\WINDOWS\wsttrs.exe>   [N/A] % @( i5 s; I* ~3 F  J/ c8 e+ @; w
<twin><C:\WINDOWS\system32\twunk32.exe>   [] 9 n/ G& _# C6 u' `* G6 ~0 x
( E* O; ^0 J& v
运行SRENG--->启动项目--->注册表--->6 C% Q5 q2 y) S$ r
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
* f* X/ m7 i  I! N" x7 F* G3 r" a     <load><; ?粓? - i8 c7 S  N  H( o9 M0 s
? >   [N/A] % X6 k  m7 u; [+ s2 y( e  X
--->编辑为4 X' A; E! L2 y# F9 z+ N
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
! q1 @+ X' t- J2 c. R( L     <load> [N/A]
, T* h% V( [+ d; K+ V- }) F  q! U& [1 N& ~  K
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 8 X& w! r" f- N
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。 + e8 p' s+ U& I% H* d
关闭QQ等应用程序。 0 g+ t$ H8 X. l6 L7 v& ?, m
进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
7 w9 f- @; C8 ~* \9 T) @7 Y, w3 R9 G# U/ R
2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip- m3 Z  O9 C  {7 c+ b
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】   ^& w/ e- P! ^) c+ n
C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe9 D1 v$ E, q5 R. U% D. v! ^( y9 x
C:\WINDOWS\cmdbcs.exe0 U6 G; ]) A: Y1 }
C:\WINDOWS\mppds.exe, W+ ?0 q2 s  N" d( ^% `  r" |
C:\WINDOWS\msccrt.exe- Z& ]% ^$ G- z
C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe
" G. u* K! b) M& X" wC:\WINDOWS\winform.exe
% j: ~' S0 i- _# ?" }# n% c, YC:\WINDOWS\wsttrs.exe
# |  |8 {, o" Q$ r3 n% U! k1 \' sC:\WINDOWS\system32\twunk32.exe
! I) x/ J8 g/ R6 Y& C# dC:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe7 k4 n, h3 W, l% q$ c

. W1 G  r6 i8 t* z5 m卸载QQ,删除安装文件夹,重装。/ C, Z  `  ^  N8 {: t* _
% x% a+ m! p& F, n, F. I" @
回复

使用道具 举报

发表于 2007-4-8 13:39:11 | 显示全部楼层
http://www.jiangmin.com/download/zhuansha04.htm
回复

使用道具 举报

发表于 2007-4-8 13:41:00 | 显示全部楼层
恭喜啊,威金,用NOD32杀吧,用卡巴当心你的EXE都掉了。
回复

使用道具 举报

发表于 2007-4-8 13:42:43 | 显示全部楼层
肥水不流外人田,盾给偶吧。
回复

使用道具 举报

mrsobo
发表于 2007-4-8 15:28:20 | 显示全部楼层
楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。; o, c% u! y* {6 A6 n( z3 g3 [0 y
2 U, T3 z" Q# G' {: E
具体操作可以联系我,包杀包埋!- t8 f3 G! t% ?1 d4 v
黑肉顿不要。免费咯!: P. B7 S" d0 P2 F- O
3 K8 @9 w; ~/ k" D" t6 W& P# j- X
/ l) q- f' a; X5 K# q
0 `; R5 u; Z5 [6 }
钱是浮云啊\``~~~
回复

使用道具 举报

发表于 2007-4-8 16:29:26 | 显示全部楼层
估计LZ的XP安装盘有病毒...........
回复

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|=|HERO|=战队 ( 皖ICP备19020640号 )|网站地图

GMT+8, 2026-3-16 19:12

Powered by Discuz! X3.5 Licensed

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表