帮帮我吧。。。看看这些都是什么东西

=|HERO|=LieHen

刚做完系统
4 R/ d: H2 W3 W
又用AVG在安全模式下杀了一次

& j6 z: d+ M' {8 u$ M1 L又出现这么些进程帮我看看

  J& o& S" H( U9 k% M8 Q/ u正常时候只有19

帮我解决下

- Y+ k$ p  S8 ?: [1 W事的起因是因为卡在欢迎使用画面

现在还没彻底解决
: d8 Z/ |: g7 u$ \3 h) Q2 i
帮帮忙

快帮我看看~
# p5 k' z5 M) g6 m9 k! K3 w
[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

great_king

病毒？

pwch

转:

  N" d2 `, u- z/ z0 d- k清除byetmr.exe，cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe
, h, Z& o' a5 ]5 A, Q. L0 _- ]5 E
1,下载2007新版威金专杀工具,费尔托斯特安全...
6 V2 |  h+ t. M& \2,卸载QQ，删除安装文件夹，
( e/ I) D  `2 D$ p8 @3. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。
1 g, {+ v7 L1 b! ~; e0 h清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。
( |" q& {2 h. Z1 g5 w% I关闭MSN应用程序。
进行如下操作前，请不要进行任何双击打开磁盘的操作。
4,用威金专杀工具扫描电脑.
3 w( Q+ H0 [; U; l. B" d" D5 q4 \$ `5,以上完成后,使用费尔托斯特安全
以上完成重起电脑就可以了.
! q$ u4 T. y( e" U# v注意:使用2007新版威金专杀工具时,
1。系统是XP，运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ，下载控件放到SYSTEM32，再运行即可！
2。由于在恢复的过程中没有用到多线程导致的容易假死，属于正常现象。 小一点的exe文件应该停顿不严重，大一点的就会停顿。耐心等一下就过去了。

pwch

转:
' l0 B0 G; `. ?" I9 Z" H. ~
& m7 v2 X1 @5 _+ e
, b) H4 `' o- A木马：Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静
该木马运行后，访问网络下载多个木马程序。生成以下文件：
9 E( w" t5 R; e9 eC:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE
9 D2 R& L6 ]. H6 {/ z- q4 }3 y5 VC:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll
4 Q9 z( f# y) WC:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll
2 W8 m# Y, i9 m. C, kC:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
8 W) h: X- Q1 X" Y! r6 v( kC:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll
* C- o7 H7 V7 `. W' Y6 k4 k: OC:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE
8 {* i/ S0 ~! r: n5 `C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe
, E2 i7 @8 x4 ]9 `1 m6 y, J4 O6 PC:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll
) F3 _& l, c* t4 w- K( k: jC:\Program Files\Internet Explorer\Connection Wizard\isignup.bak
" q9 M0 M( D; oC:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\cmdbcs.exe
4 i& a+ a: N2 G, D, n- q# zC:\WINDOWS\mhs3.exe
C:\WINDOWS\mppjds.exe
C:\WINDOWS\msccrt.exe
1 ]9 ?: R; ?/ ~+ |3 ]: s2 oC:\WINDOWS\wgs3.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\system32\cmdbcs.dll
( V- q9 d9 |, R4 ~  B, f1 vC:\WINDOWS\system32\rund1132.exe
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\wsttrs.dll
  ]" J: Q3 m& i  K7 H! d: N# RC:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\drivers\usbme.sys
8 Z2 V- R2 T1 {5 A$ [重点：C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe
  }% p: U! S9 s) _并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件！
6 l/ |3 N" Q6 J( z7 z) s; f
添加注册表启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
* ]: _. M- T  Q2 N# \"ravshell"="C:\windows\system32\rund1132.exe"
$ W2 H8 r5 E% i6 F: x; y$ S
1 U1 o# D6 Z; d3 S- e$ H  p' s1 ][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
2 S/ ^- ]0 _3 B# Y"mhs3"="C:\windows\mhs3.exe"
' M; i6 o+ |$ N% l; c"msccrt"="C:\windows\msccrt.exe"
"cmdbcs"="C:\windows\cmdbcs.exe"
$ P- N4 B% i' J" Z' F' V8 \% t"mppjds"="C:\windows\mppjds.exe"
1 _7 o2 n" L7 R* }6 j"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"
& o6 g8 h$ C8 _4 W"wgs3"="C:\windows\wgs3.exe"
* `- D; n* |: f; y4 o"wsttrs"="C:\windows\wsttrs.exe"
0 _$ I2 ?2 L+ i: f0 H
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
9 ?) b. u( J9 f"twin"="C:\windows\system32\twunk32.exe"

; p& g& E; [' x. r. F添加注册表项目：
[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd"
. J. Z+ j% u4 {6 O9 P' e9 h[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"

并禁用了常用杀软的服务！

手工查杀方法：
/ i! O9 v) c0 Q1.用冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”（隐藏进程，红色显示）如图1
; C2 S: O/ {  @. h) R
# k5 f/ x/ \( D7 ^( Y) |6 |7 Q7 k! s
8 P0 j5 v9 Q  H# ?& j) q2.用金山反间谍找到以上病毒文件！（复制路径，修改自身的用户名到查找文件窗口，点击彻底删除即可）如图2：


3 Z% P0 X# ?6 C+ A7 B( w3.删除以上病毒添加的注册表项目！

+ f9 T. p2 R1 B! j% Z; w4 L" v4.重新启动计算机！并清空IE缓存和自己的临时文件夹，并恢复自己的杀软件服务！

=|HERO|=OGSTKY

楼上的强人啊

* T! H& y% l' |2 ?( ?1 n最好装个卡巴

tyrannosaurus

svchost,lsass,smss这几类文件可能有问题，照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。

=|HERO|=LieHen

好像是中威金了？
" X8 @  f$ n! t( R# \& f
6 T2 k+ c9 _0 u9 G9 `中它会出现什么情况？

=|HERO|=OTO@BF2

裂痕没事都区什么网站啊   老是出问题。。。。

=|HERO|=LieHen

操。我还没来得及上网就出现病毒了

pwch

转

! h  v0 q+ R$ ~& z0 n清除byetmr.exe，cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe

! G5 e$ Y) f  N3 V# n根据SREng扫描日志请按照如下步骤，尝试删除和修复 " W6 P9 D5 z' N$ l$ e$ t运行SRENG--->启动项目--->注册表--->删除以下注册表 # B0 |8 k8 Q1 V1 x7 |' d- T<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   [Microsoft Corporation] <cmdbcs><; C:\WINDOWS\cmdbcs.exe>   [N/A] ! V* t: {) ]" X$ M4 k% j' [) Q7 r     <mppds><; C:\WINDOWS\mppds.exe>   [N/A]      <msccrt><; C:\WINDOWS\msccrt.exe>   [N/A] 7 o& B9 C3 i3 M8 [+ D: }     <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   [] * L. w- g% p! [/ Y1 n  d. \# ?     <winform><; C:\WINDOWS\winform.exe>   [N/A] * v. p4 N4 r+ \+ O( z/ z     <wsttrs><; C:\WINDOWS\wsttrs.exe>   [N/A] 4 o& U9 i+ V1 v% z# X<twin><C:\WINDOWS\system32\twunk32.exe>   [] $ U/ f: B8 {( h1 N3 k 运行SRENG--->启动项目--->注册表---> / M$ n  A& }( w4 x& ]& n$ L[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] - Q$ K, E: I' B/ c     <load><; ?粓? 5 _. [# p2 o4 Q7 L& D% c? >   [N/A] 5 u# ~2 q3 w# l2 u- @--->编辑为 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]      <load> [N/A] ! F3 D" S$ Q! U+ u7 o4 n6 k  N. g ; X7 }, l7 v* k2 {( Z3 Z9 h1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。 清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。 7 D9 V5 a, c7 z* b1 v关闭QQ等应用程序。 进行如下操作前，请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。   ?. D, M9 [( }: [1 l 2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip 4 k$ X5 a$ {) W* G" Y3 }分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭 【有找不到提示的请忽略错误继续】 5 [: \6 @  B, o% t% a& P/ hC:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe 2 d) J+ H$ w& T4 gC:\WINDOWS\cmdbcs.exe C:\WINDOWS\mppds.exe ' C& o: u2 p- X6 o, bC:\WINDOWS\msccrt.exe / G( r7 c3 I( B( Z7 ?C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe / V2 {& k: _) ?6 C% |" \C:\WINDOWS\winform.exe C:\WINDOWS\wsttrs.exe C:\WINDOWS\system32\twunk32.exe 9 {7 }9 j9 G7 ^$ AC:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe 4 R5 W' @( H7 k0 Z$ o ) K+ \3 o9 O* _卸载QQ，删除安装文件夹，重装。

=|HERO|=WuJJ

http://www.jiangmin.com/download/zhuansha04.htm

=|HERO|=laomi

恭喜啊，威金，用NOD32杀吧，用卡巴当心你的EXE都掉了。

=|HERO|=laomi

肥水不流外人田，盾给偶吧。

mrsobo

楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。

具体操作可以联系我,包杀包埋！
黑肉顿不要。免费咯！



钱是浮云啊\``~~~

=|HERO|=BFYing@

估计LZ的XP安装盘有病毒...........