黑肉论坛 › =|HERO|=战地2[BF2]分队 › 帮帮我吧。。。看看这些都是什么东西

=|HERO|=LieHen 发表于 2007-4-8 13:16:56

帮帮我吧。。。看看这些都是什么东西

刚做完系统

又用AVG在安全模式下杀了一次

又出现这么些进程帮我看看

正常时候只有19

帮我解决下

事的起因是因为卡在欢迎使用画面

现在还没彻底解决

帮帮忙

快帮我看看~

[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

great_king 发表于 2007-4-8 13:21:00

病毒？

pwch 发表于 2007-4-8 13:25:00

转:

清除byetmr.exe，cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe

1,下载2007新版威金专杀工具,费尔托斯特安全...
2,卸载QQ，删除安装文件夹，
3. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。
关闭MSN应用程序。
进行如下操作前，请不要进行任何双击打开磁盘的操作。
4,用威金专杀工具扫描电脑.
5,以上完成后,使用费尔托斯特安全
以上完成重起电脑就可以了.
注意:使用2007新版威金专杀工具时,
1。系统是XP，运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ，下载控件放到SYSTEM32，再运行即可！
2。由于在恢复的过程中没有用到多线程导致的容易假死，属于正常现象。 小一点的exe文件应该停顿不严重，大一点的就会停顿。耐心等一下就过去了。

pwch 发表于 2007-4-8 13:26:04

转:


木马：Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静
该木马运行后，访问网络下载多个木马程序。生成以下文件：
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.bak
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\mhs3.exe
C:\WINDOWS\mppjds.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\wgs3.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\rund1132.exe
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\drivers\usbme.sys
重点：C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe
并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件！

添加注册表启动项：

"ravshell"="C:\windows\system32\rund1132.exe"


"mhs3"="C:\windows\mhs3.exe"
"msccrt"="C:\windows\msccrt.exe"
"cmdbcs"="C:\windows\cmdbcs.exe"
"mppjds"="C:\windows\mppjds.exe"
"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"
"wgs3"="C:\windows\wgs3.exe"
"wsttrs"="C:\windows\wsttrs.exe"


"twin"="C:\windows\system32\twunk32.exe"

添加注册表项目：
添加"qqjdd"
添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"

并禁用了常用杀软的服务！

手工查杀方法：
1.用冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”（隐藏进程，红色显示）如图1
http://bbs.20lz.com/attachments/day_070318/20070318_3c318b8de94508034786K1pzGqBpHynU.jpg

2.用金山反间谍找到以上病毒文件！（复制路径，修改自身的用户名到查找文件窗口，点击彻底删除即可）如图2：
http://bbs.20lz.com/attachments/day_070318/20070318_e5ee81d2a5a7e88617a41856ljbGA7vO.jpg

3.删除以上病毒添加的注册表项目！

4.重新启动计算机！并清空IE缓存和自己的临时文件夹，并恢复自己的杀软件服务！

=|HERO|=OGSTKY 发表于 2007-4-8 13:26:31

楼上的强人啊

最好装个卡巴

tyrannosaurus 发表于 2007-4-8 13:28:48

svchost,lsass,smss这几类文件可能有问题，照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。

=|HERO|=LieHen 发表于 2007-4-8 13:30:38

好像是中威金了？

中它会出现什么情况？

=|HERO|=OTO@BF2 发表于 2007-4-8 13:34:34

裂痕没事都区什么网站啊   老是出问题。。。。

=|HERO|=LieHen 发表于 2007-4-8 13:35:13

操。我还没来得及上网就出现病毒了

pwch 发表于 2007-4-8 13:38:15

转

清除byetmr.exe，cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe

http://bbs.crsky.com/1128632305/Mon_0703/64_150932_e0ca57d79000da9.jpg

根据SREng扫描日志请按照如下步骤，尝试删除和修复

运行SRENG--->启动项目--->注册表--->删除以下注册表
<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   
<cmdbcs><; C:\WINDOWS\cmdbcs.exe>   
   <mppds><; C:\WINDOWS\mppds.exe>   
   <msccrt><; C:\WINDOWS\msccrt.exe>   
   <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   []
   <winform><; C:\WINDOWS\winform.exe>   
   <wsttrs><; C:\WINDOWS\wsttrs.exe>   
<twin><C:\WINDOWS\system32\twunk32.exe>   []

运行SRENG--->启动项目--->注册表--->

   <load><; ?粓?
? >   
--->编辑为

   <load>

1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。
关闭QQ等应用程序。
进行如下操作前，请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。

2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip
分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭 【有找不到提示的请忽略错误继续】
C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\msccrt.exe
C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe
C:\WINDOWS\winform.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\system32\twunk32.exe
C:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe

卸载QQ，删除安装文件夹，重装。

=|HERO|=WuJJ 发表于 2007-4-8 13:39:11

http://www.jiangmin.com/download/zhuansha04.htm

=|HERO|=laomi 发表于 2007-4-8 13:41:00

恭喜啊，威金，用NOD32杀吧，用卡巴当心你的EXE都掉了。

=|HERO|=laomi 发表于 2007-4-8 13:42:43

肥水不流外人田，盾给偶吧。

mrsobo 发表于 2007-4-8 15:28:20

楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。

具体操作可以联系我,包杀包埋！
黑肉顿不要。免费咯！



钱是浮云啊\``~~~

=|HERO|=BFYing@ 发表于 2007-4-8 16:29:26

估计LZ的XP安装盘有病毒...........

查看完整版本: 帮帮我吧。。。看看这些都是什么东西