收藏本站
切换到宽版

 找回密码
 注册

QQ登录

只需一步,快速开始

=|HERO|=战队»黑肉论坛 =|HERO|=游戏纪念馆 =|HERO|=战地2[BF2]分队 帮帮我吧。。。看看这些都是什么东西
12下一页
返回列表 发新帖
查看: 1527|回复: 17

帮帮我吧。。。看看这些都是什么东西

[复制链接]
发表于 2007-4-8 13:16:56 | 显示全部楼层 |阅读模式
悬赏1000黑肉盾未解决
刚做完系统
# }/ W. I1 p1 B- E7 @4 U/ B4 p' R2 P5 Q3 l0 l/ u4 U1 a3 V9 r% _
又用AVG在安全模式下杀了一次! c1 T7 r" W1 x1 o
7 s+ e. A; x) C& c% h  Y# N
又出现这么些进程帮我看看
) S0 p* X! e. I( }( l9 c, m$ T
  f5 D: G$ w. s* |+ c! D正常时候只有193 T, p* {9 s6 \/ b3 T

: z7 P+ V' D) g. z+ s3 f0 y帮我解决下/ V& B7 X7 F1 l5 E2 f+ Z
7 M2 {2 r+ s& ?; |9 {+ k: R% w7 u, k
事的起因是因为卡在欢迎使用画面
& o! _! E+ ^& j( l' ?; B% @8 c. v. R  w1 x* ^3 o9 M: @
现在还没彻底解决
+ S; u9 u( k* }  e* g, T3 c8 X7 F% Z: R4 ^. z" Y
帮帮忙# a1 O2 P9 Z7 x
" p% `- w- Q8 _( A* ~. H( q: |
快帮我看看~. l$ A3 x! |& X$ E8 B
6 l8 _5 t+ n. |, h2 H
[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

回复

使用道具 举报

great_king
发表于 2007-4-8 13:21:00 | 显示全部楼层
病毒?
回复

使用道具 举报

pwch
发表于 2007-4-8 13:25:00 | 显示全部楼层
转:
) j# [0 [( \: J; x: s: D
% J' m7 ~2 ?5 b6 o0 x# |# ]清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe3 V& _: s/ Y$ K4 q( i3 V7 V9 ^* J
; t; c& i: ^. d: `& J8 P) C7 e) T
1,下载2007新版威金专杀工具,费尔托斯特安全...
& D& C* d7 K$ g3 I. F, D! n& o2,卸载QQ,删除安装文件夹,
$ O# ^$ Z- B( _4 q8 _/ D( P3. 杀毒前关闭系统还原(Win2000系统可以忽略):右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。
2 t( _+ I1 q9 C8 j) }& i/ i2 z清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。 ! I1 g/ Q# [  w0 x% i
关闭MSN应用程序。
6 P4 \" q# V1 f+ s- d进行如下操作前,请不要进行任何双击打开磁盘的操作。
* @; j% |+ y, d/ Z7 }- R: M4,用威金专杀工具扫描电脑." ^) _+ ^# x1 A
5,以上完成后,使用费尔托斯特安全+ b# c9 d2 t9 R+ d
以上完成重起电脑就可以了.
3 c6 y% J$ p( {8 _注意:使用2007新版威金专杀工具时,
2 E# b/ |# d) Z, Z1。系统是XP,运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ,下载控件放到SYSTEM32,再运行即可!
2 l4 a. w: G3 \# y, D) W0 E2。由于在恢复的过程中没有用到多线程导致的容易假死,属于正常现象。 小一点的exe文件应该停顿不严重,大一点的就会停顿。耐心等一下就过去了。
回复

使用道具 举报

pwch
发表于 2007-4-8 13:26:04 | 显示全部楼层
转:6 w( S6 Z2 [7 w

" x! G4 s( h* W # e/ X3 Z# m; k) k
木马:Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静 . A; }- S0 X: ^
该木马运行后,访问网络下载多个木马程序。生成以下文件:! D1 }2 N* L, a8 j9 {+ |
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll$ W; J6 E  d2 W+ e% u& ?0 m& \
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE2 }6 C7 Z7 X/ |9 p( Y& x
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE
& Y9 B* y  P6 [: N# r' ?C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll9 _% S! X+ H- p$ j+ @1 g; l
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll
/ r# f' ?# @9 \1 q9 u& N4 l/ eC:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys
' K4 [: g" W$ e: t& w1 z+ D6 UC:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
0 ?0 f) V5 D$ w# z0 Q, \! \$ o5 ~C:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll
/ y$ a* r( c& [: N% x# E' GC:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE/ l: Y! I& ]9 E- ]+ R0 r9 ^
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe5 l( v' p8 ?8 U/ [+ F3 j6 f- I! |
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe4 Z; `  n6 J% z1 u
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll
$ H: T' X# G+ [: I0 L7 bC:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll# j5 ?/ a! l+ C+ A
C:\Program Files\Internet Explorer\Connection Wizard\isignup.bak( K8 i) f) X; }
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
4 M# X0 _7 r" y/ ^6 m' b* `C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
, o/ k$ O1 w+ `# o6 b5 v) OC:\WINDOWS\cmdbcs.exe2 ~+ q6 Y) ]4 W- ?" j
C:\WINDOWS\mhs3.exe* j9 ?" U, l6 J$ I: J
C:\WINDOWS\mppjds.exe
% I. Q& g, r" F+ CC:\WINDOWS\msccrt.exe0 Z9 l4 ], J; t8 H: g
C:\WINDOWS\wgs3.exe. W( I1 k# W# n9 J
C:\WINDOWS\wsttrs.exe
2 W( O8 N1 {& x& J% t* v  C4 J' M1 MC:\WINDOWS\system32\cmdbcs.dll
% U! u. }! u! E) H# lC:\WINDOWS\system32\rund1132.exe
# }: G* a. r+ U* T) G$ C: ^C:\WINDOWS\system32\twunk32.exe# d, S! {( J$ g$ X* c
C:\WINDOWS\system32\wsttrs.dll
" K5 v9 }8 Z5 e& L6 ^: Z* ~0 w2 u, zC:\WINDOWS\system32\drivers\npf.sys
6 m; L6 D( b. ^) J: yC:\WINDOWS\system32\drivers\usbme.sys
7 L2 v4 G/ j$ W重点:C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe! p; Z5 k9 U. G- K# r. U5 y& D
并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件!" d! Z6 c9 Z) G8 Y

8 C; f9 R" G4 f, \添加注册表启动项:
6 J, N3 e  [' u5 J7 s; s% x$ H[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]5 H" c$ c+ G4 u: W
"ravshell"="C:\windows\system32\rund1132.exe"1 k+ r* Z$ t" M: Z7 Z
$ h3 O/ _& ?  E3 v
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
" _% `" E$ y, j  v  E2 {+ d"mhs3"="C:\windows\mhs3.exe"
3 v; v' M- I( R* n) q"msccrt"="C:\windows\msccrt.exe"/ Q0 H3 A( F% N% C( }
"cmdbcs"="C:\windows\cmdbcs.exe"
! G6 G; l  X* N. h5 W) r* ]"mppjds"="C:\windows\mppjds.exe"
- V# y5 k$ C) n% v( S"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"8 A' P3 F* Z" E8 t# I
"wgs3"="C:\windows\wgs3.exe": d* J4 C* G* H9 g7 b
"wsttrs"="C:\windows\wsttrs.exe"
# m. O0 B3 O+ k2 u% W3 G# A$ U( |0 ?  L3 k
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
. n3 K: k6 q! n3 d. C! t/ I5 t"twin"="C:\windows\system32\twunk32.exe"
& `, C7 O# o. K" M, N. `. R) d" C+ R& Q* l* Z4 x! T0 _( q
添加注册表项目:* @; n/ `' `# q# M0 s3 k2 V
[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd"
) |  L5 R; O3 G1 g/ v  ][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"
( W; y" u6 G- @8 {6 t8 a( r6 Z/ ^. f
并禁用了常用杀软的服务!6 W- ?  I7 g0 w; p' B# r5 i/ \
  D1 M" }- U4 ~$ t: E
手工查杀方法:' J% e6 b6 v1 I9 R: }8 z1 ]0 ~" p
1.用冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”(隐藏进程,红色显示)如图10 F8 N: Y1 Y5 O; D  S% F; v9 n$ M
- x* d: `1 o# h

, r1 i7 K9 Y, b8 w& O& k1 }" K2.用金山反间谍找到以上病毒文件!(复制路径,修改自身的用户名到查找文件窗口,点击彻底删除即可)如图2:
( |9 z! E: r. D
! V# }3 U; a' Z/ L* z; f1 f2 N  j
, A' m6 S; y% \: F4 ?$ d7 w% C3.删除以上病毒添加的注册表项目!
8 G: |: m* W0 D2 x8 N2 g- R2 J! w5 L
4.重新启动计算机!并清空IE缓存和自己的临时文件夹,并恢复自己的杀软件服务!
回复

使用道具 举报

发表于 2007-4-8 13:26:31 | 显示全部楼层
楼上的强人啊7 p  w- p. \) M6 T
, @8 W' O/ W: Q/ Z! @" Z
最好装个卡巴
回复

使用道具 举报

发表于 2007-4-8 13:28:48 | 显示全部楼层
svchost,lsass,smss这几类文件可能有问题,照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:30:38 | 显示全部楼层
好像是中威金了?. R0 h9 V$ k  u6 i  _$ S+ p

" Q$ v& a9 I& ?' e: b+ l1 F中它会出现什么情况?
回复

使用道具 举报

发表于 2007-4-8 13:34:34 | 显示全部楼层
裂痕没事都区什么网站啊   老是出问题。。。。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:35:13 | 显示全部楼层
操。我还没来得及上网就出现病毒了
回复

使用道具 举报

pwch
发表于 2007-4-8 13:38:15 | 显示全部楼层

8 c/ @* Q9 |) y4 P$ j3 n1 L/ n
, {: N3 r8 K, y9 z& |清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe
7 H4 W% R* i7 F  t" f ! S% s1 s( y* x# G1 w

. m! z$ b( d: @8 E) O6 N
  ?7 D$ n" W  M! i; v" ^根据SREng扫描日志请按照如下步骤,尝试删除和修复
  s, `9 \# Z# V/ g+ ]1 U& H$ i# D) [' U& u7 U/ Y  ]/ O" @
运行SRENG--->启动项目--->注册表--->删除以下注册表
( v8 \( R; K% f/ L4 T/ g<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   [Microsoft Corporation] / t7 J# P: o: g% ^' [5 ^) |
<cmdbcs><; C:\WINDOWS\cmdbcs.exe>   [N/A] % q+ X0 ^' a. m! u: D0 T
     <mppds><; C:\WINDOWS\mppds.exe>   [N/A]
: w1 p5 e8 V" o     <msccrt><; C:\WINDOWS\msccrt.exe>   [N/A] ! r* c& R/ _6 B! |% X5 C
     <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   [] - o# w% p! W" g0 l0 z3 A+ z
     <winform><; C:\WINDOWS\winform.exe>   [N/A] : T* e  t: S# G/ R$ d
     <wsttrs><; C:\WINDOWS\wsttrs.exe>   [N/A]
6 ?+ R6 d( o2 S8 I, x) x+ s: l  C<twin><C:\WINDOWS\system32\twunk32.exe>   []
9 M, H; m! ^: V) Z- t# R8 T% z/ q/ ^: i5 H) s! f7 B# R
运行SRENG--->启动项目--->注册表--->
3 B' C. t& T8 R9 W) }3 c[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  z! ^8 l' b7 ], P3 B% ]; m     <load><; ?粓? , |# `: }5 G+ \
? >   [N/A] ' ]1 j, b  z0 D$ l5 f1 O
--->编辑为; d8 a5 c3 b0 o
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] " X$ d4 X5 ?5 S+ W3 q( k
     <load> [N/A] - @6 l+ c$ z$ N3 _' C# O6 J' X

/ ~; i5 r6 J2 C2 s8 m2 u- e8 L; P1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 6 ~! [; o& b7 A1 v$ z
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。 % B2 U. x4 j; A7 n
关闭QQ等应用程序。 3 b( ^* G; q# [; l1 s) j* I
进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。 " G7 n1 l, d. {! m1 e% O8 r4 b! C+ J
( u4 o/ p  {. \  C' j6 r
2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip% V: @4 Z$ }# S$ y7 [8 W
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】 : n0 ]1 j6 R5 L* G9 \
C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe
6 i7 l- ~3 ?5 t( _& }C:\WINDOWS\cmdbcs.exe) m1 L5 z  B9 I$ B+ q9 j! A+ }
C:\WINDOWS\mppds.exe
' f/ W( O7 E9 ^2 Q3 {9 }$ vC:\WINDOWS\msccrt.exe
0 o+ ], N6 [+ s( y+ R6 l9 w0 FC:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe2 j" s3 m6 b0 [) r9 z* a
C:\WINDOWS\winform.exe
6 k% K$ y: y: R0 kC:\WINDOWS\wsttrs.exe3 d6 A  p# L8 y" Q- \; o' S
C:\WINDOWS\system32\twunk32.exe: o2 X* t) n3 a1 v& q
C:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe
3 S8 v5 U* a% S1 N
1 W0 D9 R) L& s- w! y5 N7 u! J! T6 _卸载QQ,删除安装文件夹,重装。/ E9 c% S7 j% B
0 `1 M; z0 z* c- j" ^
回复

使用道具 举报

发表于 2007-4-8 13:39:11 | 显示全部楼层
http://www.jiangmin.com/download/zhuansha04.htm
回复

使用道具 举报

发表于 2007-4-8 13:41:00 | 显示全部楼层
恭喜啊,威金,用NOD32杀吧,用卡巴当心你的EXE都掉了。
回复

使用道具 举报

发表于 2007-4-8 13:42:43 | 显示全部楼层
肥水不流外人田,盾给偶吧。
回复

使用道具 举报

mrsobo
发表于 2007-4-8 15:28:20 | 显示全部楼层
楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。1 E& b! e: M# _& p5 `

5 t+ k9 Z5 A. ]9 n具体操作可以联系我,包杀包埋!* M) `% w" H$ R( S! w4 K2 l
黑肉顿不要。免费咯!6 g, W4 [3 H; P; d

9 r2 g  G- ~* o& _# I% z8 q3 G3 j: v" }# d

6 L/ t! j: X$ B+ G钱是浮云啊\``~~~
回复

使用道具 举报

发表于 2007-4-8 16:29:26 | 显示全部楼层
估计LZ的XP安装盘有病毒...........
回复

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|=|HERO|=战队 ( 皖ICP备19020640号 )|网站地图

GMT+8, 2026-6-23 03:08

Powered by Discuz! X3.5 Licensed

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表