帮帮我吧。。。看看这些都是什么东西

=|HERO|=LieHen

刚做完系统
- I8 a3 l, i% H2 p0 E
又用AVG在安全模式下杀了一次

又出现这么些进程帮我看看

' [9 b1 h  H6 z8 M正常时候只有19
# b9 g6 T) N3 k1 g! B6 ?
& ?5 W+ Z0 o! p- L3 N帮我解决下

事的起因是因为卡在欢迎使用画面

, x. R* n  ~3 y7 c现在还没彻底解决

帮帮忙

快帮我看看~
! w$ B) m) p* D: t  Q
0 y  p' z$ P7 \8 o/ @[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

great_king

病毒？

pwch

转:
/ E5 A3 E" b' P. n) _2 Q
0 W+ A2 O, m8 W' z6 p. j# [: o( P清除byetmr.exe，cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe
2 w& M! g- t7 ]
1,下载2007新版威金专杀工具,费尔托斯特安全...
2,卸载QQ，删除安装文件夹，
3. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。
关闭MSN应用程序。
0 t9 B0 Y; ]9 {$ c1 g% e) j! f* H8 z进行如下操作前，请不要进行任何双击打开磁盘的操作。
9 w9 [6 Q/ o! G. e5 _4,用威金专杀工具扫描电脑.
" n" T& [) L0 l. k4 J5 T5,以上完成后,使用费尔托斯特安全
以上完成重起电脑就可以了.
. {  c! Q2 D6 g+ h+ G4 t注意:使用2007新版威金专杀工具时,
9 T) j2 \* X& }0 B) v9 Y1。系统是XP，运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ，下载控件放到SYSTEM32，再运行即可！
2。由于在恢复的过程中没有用到多线程导致的容易假死，属于正常现象。 小一点的exe文件应该停顿不严重，大一点的就会停顿。耐心等一下就过去了。

pwch

转:
/ x0 l. I8 M. U+ j/ x, A4 g# ~

. I- g0 B4 v% S1 u0 o! u木马：Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静
3 a* f* ]+ F" N' a6 y1 Z该木马运行后，访问网络下载多个木马程序。生成以下文件：
' J2 l$ }# o6 |1 x" BC:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll
: g0 x! a. J3 X" T% QC:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE
# _+ _/ F- f6 T- U' ]# i; {C:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE
4 c2 K/ v( U; Y1 K' h: HC:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll
/ M: l$ [8 T7 w7 d% _! z8 e1 yC:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll
* k) n1 j* v' c* F0 v& \: V8 IC:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys
8 \3 \# Y0 ]) h$ PC:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE
. _) E4 p9 W" G* t( iC:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe
# t5 e( C. L& K! j) DC:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.bak
% G. f, k7 |5 o) v4 ?C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
& r7 ]* t) c! N0 \3 mC:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
& o9 {5 R7 p# g" m1 bC:\WINDOWS\cmdbcs.exe
C:\WINDOWS\mhs3.exe
. t3 e( [' L& o+ h; E. ]0 {C:\WINDOWS\mppjds.exe
C:\WINDOWS\msccrt.exe
* P( n8 o5 B% p, j- m8 O$ KC:\WINDOWS\wgs3.exe
C:\WINDOWS\wsttrs.exe
: y7 q7 Z8 @7 G* EC:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\rund1132.exe
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\wsttrs.dll
6 w8 O% E2 a7 h1 U  D& w0 e" `C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\drivers\usbme.sys
% G! R6 u- D- q# K- L重点：C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe
; D% ~1 B& t6 f并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件！

' H( u, j  H; e+ u& M3 @+ Y+ O添加注册表启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ravshell"="C:\windows\system32\rund1132.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
( a3 Q, E5 b; ?6 k5 j$ j) O"mhs3"="C:\windows\mhs3.exe"
, _# Z) I, L2 R! u"msccrt"="C:\windows\msccrt.exe"
"cmdbcs"="C:\windows\cmdbcs.exe"
) \; n0 G1 R/ D9 x/ Z/ `"mppjds"="C:\windows\mppjds.exe"
"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"
: L; N$ i( ]# H: Y"wgs3"="C:\windows\wgs3.exe"
) j# ^/ m+ d1 D, Z! J6 ^"wsttrs"="C:\windows\wsttrs.exe"
9 `- J& v8 L( A1 u
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
2 K$ J: j! c  F% H"twin"="C:\windows\system32\twunk32.exe"

8 ~8 c- c3 V+ ?- N9 w添加注册表项目：
[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd"
# h: v+ X6 w: I( u. t& T[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"

% [! i# F& a9 F4 h! q  w7 U并禁用了常用杀软的服务！
1 t: p# A2 e1 z6 E
手工查杀方法：
1.用冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”（隐藏进程，红色显示）如图1

. R8 ^" L/ l2 |7 C6 m
2.用金山反间谍找到以上病毒文件！（复制路径，修改自身的用户名到查找文件窗口，点击彻底删除即可）如图2：
% g; t4 g7 {5 b- B5 _# E

" F" c& \' Z* \3 c4 h3 X3.删除以上病毒添加的注册表项目！

# m9 V& Q* ]* A% K! F* n7 R0 {" o4.重新启动计算机！并清空IE缓存和自己的临时文件夹，并恢复自己的杀软件服务！

=|HERO|=OGSTKY

楼上的强人啊

4 D- i0 c& F5 `6 @: ~. S, q* ^最好装个卡巴

tyrannosaurus

svchost,lsass,smss这几类文件可能有问题，照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。

=|HERO|=LieHen

好像是中威金了？
" A! h+ r9 b" X+ @
% l  M' X6 S8 Q4 I中它会出现什么情况？

=|HERO|=OTO@BF2

裂痕没事都区什么网站啊   老是出问题。。。。

=|HERO|=LieHen

操。我还没来得及上网就出现病毒了

pwch

转
5 m6 i* a  r, w2 d6 ?
1 [$ P+ H8 Q( |+ e清除byetmr.exe，cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe
* W& n; r9 H* o+ L6 m: g8 f4 x" {

( y! k4 ]8 r0 M" V2 z 根据SREng扫描日志请按照如下步骤，尝试删除和修复 & n3 b9 T  [1 H! `$ |. i' T + u& i0 t5 o! z6 A运行SRENG--->启动项目--->注册表--->删除以下注册表 ' V- ?. v  r- J9 E/ o<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   [Microsoft Corporation] <cmdbcs><; C:\WINDOWS\cmdbcs.exe>   [N/A]      <mppds><; C:\WINDOWS\mppds.exe>   [N/A] 5 m2 l( R3 t9 ]4 H3 K* |     <msccrt><; C:\WINDOWS\msccrt.exe>   [N/A] ' V' K! M& E3 T  y/ H1 x     <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   [] " v% j9 f% _" _  a0 ~! s: F* t     <winform><; C:\WINDOWS\winform.exe>   [N/A] & n# B/ v4 D2 Z5 ^5 I, r     <wsttrs><; C:\WINDOWS\wsttrs.exe>   [N/A] " _; H3 x5 ^# a. u* |# f# Z<twin><C:\WINDOWS\system32\twunk32.exe>   [] / ]: f; T! k- |, g4 r$ H- U ! c5 e# i8 ^4 j6 w$ W运行SRENG--->启动项目--->注册表---> [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] ! u6 ]" J+ l# b" Q     <load><; ?粓? / q2 q1 I- q2 s, G; w/ \6 B5 z? >   [N/A] --->编辑为 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]      <load> [N/A] 1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。 清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。 ( t/ U% g0 B+ h! A关闭QQ等应用程序。 3 w3 E; c  b) ?) E' s6 @6 s4 }9 L" @  _进行如下操作前，请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。 # a' Q( G  o) `2 @ 2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip 4 `% d+ `1 v! n分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭 【有找不到提示的请忽略错误继续】 C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe # d# M' n& C3 ~% @! E$ }C:\WINDOWS\cmdbcs.exe C:\WINDOWS\mppds.exe 8 t- Q8 q' ]' h. [# F3 f# ^C:\WINDOWS\msccrt.exe 9 V  x+ v& B. P. g$ Y' GC:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe C:\WINDOWS\winform.exe C:\WINDOWS\wsttrs.exe C:\WINDOWS\system32\twunk32.exe C:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe   X8 [2 M7 p5 U' t6 h1 ^" o卸载QQ，删除安装文件夹，重装。 * I8 M, x( Z; T' X 5 \0 R2 f* M, v- @( a

=|HERO|=WuJJ

http://www.jiangmin.com/download/zhuansha04.htm

=|HERO|=laomi

恭喜啊，威金，用NOD32杀吧，用卡巴当心你的EXE都掉了。

=|HERO|=laomi

肥水不流外人田，盾给偶吧。

mrsobo

楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。
" O: ^5 W8 ^# ], g5 h
9 j* _0 k7 r7 f# l具体操作可以联系我,包杀包埋！
黑肉顿不要。免费咯！
) f, j3 K/ h3 P5 d
/ {% P, L* C& k, D/ H0 T
& o3 }, |' U- O1 v5 g( O( V3 v5 z
钱是浮云啊\``~~~

=|HERO|=BFYing@

估计LZ的XP安装盘有病毒...........