收藏本站
切换到宽版

 找回密码
 注册

QQ登录

只需一步,快速开始

=|HERO|=战队»黑肉论坛 =|HERO|=游戏纪念馆 =|HERO|=战地2[BF2]分队 帮帮我吧。。。看看这些都是什么东西
12下一页
返回列表 发新帖
查看: 1348|回复: 17

帮帮我吧。。。看看这些都是什么东西

[复制链接]
发表于 2007-4-8 13:16:56 | 显示全部楼层 |阅读模式
悬赏1000黑肉盾未解决
刚做完系统
) l* |5 U6 _) r2 n# c# ~6 a! r- s& W# R8 S% F2 w( n
又用AVG在安全模式下杀了一次( m  `3 Z0 E) O

" P8 |, f% P- d又出现这么些进程帮我看看" q+ j# O3 G$ K

. L6 A6 {' ^, R. ?, K0 J正常时候只有19
4 s; ~& N' r9 o! _& D- v  N: j; Z$ N/ b  O9 x/ n
帮我解决下
8 t" G) }* j6 T5 b1 v, a2 L6 M; e5 j' e: c5 @5 r( b1 E
事的起因是因为卡在欢迎使用画面- H- z- L8 {" H8 i9 X
( @& G, B) a9 j  G8 d
现在还没彻底解决9 Q; U# o  C* q9 z2 K& w

, X  r4 q: i3 t5 F" W* _帮帮忙
) B+ |) B2 b6 I% @) R; ~1 w3 F; }; f! v' P
快帮我看看~, o5 P  R4 u9 ~1 S" ]  J: |8 |

8 A6 i5 \- W: K$ l[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

回复

使用道具 举报

great_king
发表于 2007-4-8 13:21:00 | 显示全部楼层
病毒?
回复

使用道具 举报

pwch
发表于 2007-4-8 13:25:00 | 显示全部楼层
转:
+ G! e7 P! Y& T: G9 }
$ ?; ~, C" r% X7 l8 h9 c清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe6 L, \0 R  @6 L7 s
/ o8 e, H+ J% T/ J* O
1,下载2007新版威金专杀工具,费尔托斯特安全...
  e$ g, N1 G/ C: B4 f2,卸载QQ,删除安装文件夹,
' v9 ^- _7 b' N( o  m3. 杀毒前关闭系统还原(Win2000系统可以忽略):右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。 1 |: T, f0 a- r1 x' x
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。 : [! F  Q7 d3 ~; A% i9 c
关闭MSN应用程序。
  N$ |% P) e3 J; p8 v进行如下操作前,请不要进行任何双击打开磁盘的操作。
$ ^: f& d" z6 `# y# `4,用威金专杀工具扫描电脑.$ E% E/ c$ p4 l6 a1 |6 W: a8 ?2 Q
5,以上完成后,使用费尔托斯特安全
$ ~( p5 @* b( x2 I4 L6 w- V以上完成重起电脑就可以了.
( X$ v  _/ W  n+ N4 i! r注意:使用2007新版威金专杀工具时,4 S: W% c) `6 E
1。系统是XP,运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ,下载控件放到SYSTEM32,再运行即可!
. \8 W& y- [  T" C: e9 e% S+ Q) x! G2。由于在恢复的过程中没有用到多线程导致的容易假死,属于正常现象。 小一点的exe文件应该停顿不严重,大一点的就会停顿。耐心等一下就过去了。
回复

使用道具 举报

pwch
发表于 2007-4-8 13:26:04 | 显示全部楼层
转:2 a2 ^4 ~  N, R& n- L! i+ b

; @4 z8 g' Y* [0 T: z3 b$ f 3 ^: Y, M6 d0 M" j/ k7 f
木马:Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静 - O) p+ ~2 d" X7 J" L; m6 Q8 n" N% o
该木马运行后,访问网络下载多个木马程序。生成以下文件:
8 P0 ]4 d3 N- H9 x4 G5 iC:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll2 c' L  J% h7 j/ i- F7 m
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE
* F% Q" e# u# xC:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE
9 C6 ~( }& X- r7 P- G7 A' W, I% wC:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll
0 r( P* O. @' RC:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll% E! D0 e, k  }( ~* r7 N
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys$ F. c: A3 {3 n* K
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
$ n% N( `. d, a) {, i% p: S# GC:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll: G, S( A' l4 {& G4 E( x
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE: C9 e4 r. f; Z2 J
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe  f- n! _$ H( u% j* c
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe, ^2 x* r. V# e, j% t% c9 P) W9 I
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll$ W, T7 T. B7 a# H$ G
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll
! [) c, W& z2 J* o% X* lC:\Program Files\Internet Explorer\Connection Wizard\isignup.bak' r0 y& n9 a$ t
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
+ T& l" e( ]( ~9 QC:\Program Files\Internet Explorer\Connection Wizard\isignup.sys6 V, t* b1 e2 k& D. S$ G& m3 S" Q
C:\WINDOWS\cmdbcs.exe
; J7 N2 Q7 y* t$ m, }. OC:\WINDOWS\mhs3.exe4 y% V; h5 X' h) e% x
C:\WINDOWS\mppjds.exe/ R0 l! r7 h/ Z; t
C:\WINDOWS\msccrt.exe
0 i: e# m* c9 h! d( K# S0 iC:\WINDOWS\wgs3.exe: f( \; y, I( W/ @  K4 l1 s( g
C:\WINDOWS\wsttrs.exe0 r) A' D' \$ T  h  z' ]
C:\WINDOWS\system32\cmdbcs.dll
; {; T: F2 N( M4 W. pC:\WINDOWS\system32\rund1132.exe
/ C. R2 O+ a, m; U% N( C  T7 jC:\WINDOWS\system32\twunk32.exe
/ C4 C& N; d+ C: h( O+ ]C:\WINDOWS\system32\wsttrs.dll6 J; i# z2 C- ^7 h& u
C:\WINDOWS\system32\drivers\npf.sys* ^$ B% G& j* A' Q7 G
C:\WINDOWS\system32\drivers\usbme.sys* L% J4 I8 `, O) \0 x$ F
重点:C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe
) c2 \0 q1 T, V) C0 F% `! `并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件!; r; j7 d  b& U) J8 p
# g- o% n% G: p( i  [
添加注册表启动项:
) ?4 A  v+ Q+ o7 }/ ]# s; Y[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
" f2 X2 p- E. ?! f- B"ravshell"="C:\windows\system32\rund1132.exe"
4 t6 l1 v/ g! Q4 b: w0 v( t  q- W- J- h) q) O9 C. L/ Y+ L, D, ?- u
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]$ z% N5 }6 E/ f, t8 d2 c& O) j
"mhs3"="C:\windows\mhs3.exe"# D3 Z# i  @; H6 ]0 e& D* _
"msccrt"="C:\windows\msccrt.exe"7 A  R7 p9 t  R' P
"cmdbcs"="C:\windows\cmdbcs.exe"
6 n- N1 v3 H# z/ q" a"mppjds"="C:\windows\mppjds.exe", d8 v. T- d( V" ~
"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"
: \5 Q  _  o1 Z( O% f" j"wgs3"="C:\windows\wgs3.exe"/ F4 Y" b9 s, y; C/ y; |2 `
"wsttrs"="C:\windows\wsttrs.exe"/ n7 d- ?( P8 k1 x* w1 [

3 \/ u; P* {/ z- g6 x$ p[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]9 Y8 x: h3 R6 b
"twin"="C:\windows\system32\twunk32.exe"
& B# |" e1 Y: q" E$ M$ ~% K' K( Z
  q; B7 C" K7 ~: }) |添加注册表项目:+ l2 w: C$ v' U3 v0 Y
[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd") H& E3 Y+ w* F$ E+ h8 _, V7 `$ e
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"
- r. O- g5 \% S3 L" f6 Z
- a; U, R4 W! G& A  s) L6 O& S并禁用了常用杀软的服务!
9 Y5 K) P) f$ i/ n; y1 C. k
+ j+ R) x2 V: E  K* Y手工查杀方法:- [1 N0 a* y: u* O/ d6 Y
1.用冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”(隐藏进程,红色显示)如图1
. G& n2 y) \) z
- `- Y+ b' W9 i5 J
3 B+ R3 z& L2 {6 s% _1 e% `2.用金山反间谍找到以上病毒文件!(复制路径,修改自身的用户名到查找文件窗口,点击彻底删除即可)如图2:: m* b# O. P1 S- x( C$ h2 s, @

2 d, e. @3 V9 }; `1 S9 Y5 s+ F- C1 K
3 H5 `$ _# n7 x$ _- k. o* _8 ?3.删除以上病毒添加的注册表项目!  \4 k( \" c) Z( ~1 r
' z' `: Z  x9 w6 ~
4.重新启动计算机!并清空IE缓存和自己的临时文件夹,并恢复自己的杀软件服务!
回复

使用道具 举报

发表于 2007-4-8 13:26:31 | 显示全部楼层
楼上的强人啊
  G! b' N2 E$ L$ `% \. A* b) H" c. [1 ^9 ~( k' x# x0 Z! ~
最好装个卡巴
回复

使用道具 举报

发表于 2007-4-8 13:28:48 | 显示全部楼层
svchost,lsass,smss这几类文件可能有问题,照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:30:38 | 显示全部楼层
好像是中威金了?
9 [0 |# `( }0 U! k
& U' Z4 @& w( `8 V5 G* X% E中它会出现什么情况?
回复

使用道具 举报

发表于 2007-4-8 13:34:34 | 显示全部楼层
裂痕没事都区什么网站啊   老是出问题。。。。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:35:13 | 显示全部楼层
操。我还没来得及上网就出现病毒了
回复

使用道具 举报

pwch
发表于 2007-4-8 13:38:15 | 显示全部楼层
# ?; b' O7 U" r! L$ N' ?! p
8 r7 i1 W+ @/ I% {9 l$ e6 [
清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe7 V; S$ q& q5 ~( o# e
5 t& ~5 x$ f  c
5 |6 o& r% u( c: V
; i/ z1 T& Y! ]
根据SREng扫描日志请按照如下步骤,尝试删除和修复* U4 Y) \5 D  Z

. X  Z0 ^. w0 l运行SRENG--->启动项目--->注册表--->删除以下注册表/ q8 q- p. L1 u
<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   [Microsoft Corporation]
; q' y4 ]1 ^0 ?& X7 L<cmdbcs><; C:\WINDOWS\cmdbcs.exe>   [N/A]   u. i: }3 e- a
     <mppds><; C:\WINDOWS\mppds.exe>   [N/A] / @, X1 w% |, ]. G' G; _$ G/ T. t
     <msccrt><; C:\WINDOWS\msccrt.exe>   [N/A]
) O6 D( X0 D6 \/ T3 ]. j     <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   [] $ |6 _1 h1 r1 _
     <winform><; C:\WINDOWS\winform.exe>   [N/A] 1 j" c% H+ {5 X
     <wsttrs><; C:\WINDOWS\wsttrs.exe>   [N/A]
5 K, s( Y) K, M) y<twin><C:\WINDOWS\system32\twunk32.exe>   [] 1 k! L1 l- X* x( P: Y( Z* @0 c* k+ F
" q& l, y! H# P6 L6 a- t: N: v
运行SRENG--->启动项目--->注册表--->
4 w1 D  a  {# f  d) X+ z0 n[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 5 s7 ~; p$ F' x5 |0 S8 }" \
     <load><; ?粓? " ?) e1 Z- l* Y
? >   [N/A]
" q9 a# \. z6 D- A4 ]$ d* Y$ Z--->编辑为
; c' K( S$ P- Z' `[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] ' x0 b6 W" X7 h4 ^; V0 R, w
     <load> [N/A] - @5 e) _2 S0 d0 e6 p. }' V$ m1 L
+ @+ y2 f: r" t' R0 P0 Y! U
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
( V' N3 U* T7 d8 x& p' O清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
# K% i+ k2 U. Y6 {关闭QQ等应用程序。 . O0 c! r. }1 e7 n0 y
进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。 ( M1 M' z2 a  Q2 p5 T. Z- l. P2 `

2 _( a; t1 E+ q4 x: o0 ~# O- N% i2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip2 w! |) z4 d1 Q) a1 g1 B- t
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】
' T0 I. G. [" t  b/ NC:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe- d! Y7 R# P' {; _3 D0 G  b
C:\WINDOWS\cmdbcs.exe$ x) o6 E4 y1 Q- D: r$ \3 u
C:\WINDOWS\mppds.exe
/ H; L6 B" ^8 mC:\WINDOWS\msccrt.exe
0 K, P- U7 [9 G  {! tC:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe. m! F! a/ k- W5 L- a+ {
C:\WINDOWS\winform.exe
+ t* W8 i! k: l+ `5 a& RC:\WINDOWS\wsttrs.exe, ?' M/ Y: z% C$ M' D$ @
C:\WINDOWS\system32\twunk32.exe
6 l$ {& {$ O0 Q9 mC:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe0 q- H5 {7 B- E/ Q
/ |  U. s: o7 X
卸载QQ,删除安装文件夹,重装。
9 d' P$ q# g! T) @9 |. J' U# ?
0 o( y" X, v5 C( r" j2 ]: ^
回复

使用道具 举报

发表于 2007-4-8 13:39:11 | 显示全部楼层
http://www.jiangmin.com/download/zhuansha04.htm
回复

使用道具 举报

发表于 2007-4-8 13:41:00 | 显示全部楼层
恭喜啊,威金,用NOD32杀吧,用卡巴当心你的EXE都掉了。
回复

使用道具 举报

发表于 2007-4-8 13:42:43 | 显示全部楼层
肥水不流外人田,盾给偶吧。
回复

使用道具 举报

mrsobo
发表于 2007-4-8 15:28:20 | 显示全部楼层
楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。; w4 Z/ ?# P! N% P
( z8 _7 B, P. Y5 Z. ]5 L7 A1 N
具体操作可以联系我,包杀包埋!
1 c: l' N; e, v* A$ P+ n4 {& l黑肉顿不要。免费咯!
+ ~' g. A+ u! x  O2 A4 p0 r
0 l; N4 H5 k! r5 J; K
; h% \- F4 z# C; ?) `5 [! F6 P. e6 G8 N# k, u: |: G+ }7 P
钱是浮云啊\``~~~
回复

使用道具 举报

发表于 2007-4-8 16:29:26 | 显示全部楼层
估计LZ的XP安装盘有病毒...........
回复

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|=|HERO|=战队 ( 皖ICP备19020640号 )|网站地图

GMT+8, 2026-2-7 00:04

Powered by Discuz! X3.5 Licensed

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表