找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1274|回复: 17

帮帮我吧。。。看看这些都是什么东西

[复制链接]
发表于 2007-4-8 13:16:56 | 显示全部楼层 |阅读模式
悬赏1000黑肉盾未解决
刚做完系统) [( i& g6 T6 a$ e5 h
, ?, F7 S2 Z+ r0 q. A. ?
又用AVG在安全模式下杀了一次
! p0 W# @: c8 A
0 B: Q0 O$ q5 Q6 S; v% a+ j又出现这么些进程帮我看看
& s$ j4 Z* m" m3 a2 \& ^2 n. d( n' ~( x2 |: O  v
正常时候只有19
+ _9 w# ~2 y: Q# [) [* u" A" R( {% M+ G) o4 }+ m
帮我解决下+ c/ V( w9 o4 d# O* r6 d9 i

4 c. I# d( b4 F* S: t事的起因是因为卡在欢迎使用画面
% ^1 F* t" m0 ~2 k& a- c! {' x  F; ~1 A% O
现在还没彻底解决: S  g- v& u7 N
2 C/ i  f/ A# n$ o- y6 _
帮帮忙
% O6 R) l" \+ w$ S
$ \% n% H; e3 x& @5 ^快帮我看看~  C- k1 u2 {, b4 v' T
6 ^6 u. d. L) A* q7 U
[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

回复

使用道具 举报

发表于 2007-4-8 13:21:00 | 显示全部楼层
病毒?
回复

使用道具 举报

发表于 2007-4-8 13:25:00 | 显示全部楼层
转:2 p% A2 k! Y- j* k1 G8 I
# u# N" N# j' j' _
清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe
6 ^8 E" h: v' j, V9 d 7 r0 t5 b( k- ~. D  d* |
1,下载2007新版威金专杀工具,费尔托斯特安全...% D2 C: T- {) Q( m0 _
2,卸载QQ,删除安装文件夹,6 c3 P1 T% k- P: m+ U
3. 杀毒前关闭系统还原(Win2000系统可以忽略):右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。
5 l, ?* T8 j5 A6 f5 T4 E清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
9 q3 M4 z; o4 c* b% ~. }* X$ T关闭MSN应用程序。
& F, _" L1 F* n# _1 i进行如下操作前,请不要进行任何双击打开磁盘的操作。

& c6 B" |% @' E) c( P4,用威金专杀工具扫描电脑.$ f5 A" s: t5 a2 w4 o5 \& I0 n
5,以上完成后,使用费尔托斯特安全* |; i8 t8 x8 e- B: K# F1 L4 r. b
以上完成重起电脑就可以了." g0 H+ j9 l9 a' ?( q+ d
注意:使用2007新版威金专杀工具时,! r; y6 c; z9 T  G. q) e
1。系统是XP,运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ,下载控件放到SYSTEM32,再运行即可!
! f" n1 l* I4 N. S" [2。由于在恢复的过程中没有用到多线程导致的容易假死,属于正常现象。 小一点的exe文件应该停顿不严重,大一点的就会停顿。耐心等一下就过去了。
回复

使用道具 举报

发表于 2007-4-8 13:26:04 | 显示全部楼层
转:; Q, u: _+ C: V
. p8 U0 i% e1 e& @3 p1 |# \

& |6 _/ D1 \* T  W) V- r1 l木马:Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静   u( v2 f& B# E6 N1 c/ l3 m2 M+ c+ Q
该木马运行后,访问网络下载多个木马程序。生成以下文件:2 E; V0 ^4 L9 P& j
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll2 s7 Z) e( }. l
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE
7 X3 Z0 C4 V! E% P8 P5 f# `C:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE
5 \# n+ d# P# J1 X1 ]" C+ d: EC:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll' {& m& |5 x; B1 [8 R
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll6 k' u. \" ?+ [9 c; e6 v" o
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys8 K  Z5 c+ f8 D% z
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
+ R$ Q- F$ O0 i* N: ]C:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll8 y' t& |  c: B2 C
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE) I6 U& }# z! q3 i! B* I
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe% q' b1 ~8 b- q/ s) _/ A; U2 a
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe
. Y5 c  C2 `" y  x1 k& VC:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll
1 @$ O/ K6 w. N( a3 J/ xC:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll$ h8 e! L( D* r9 W) L
C:\Program Files\Internet Explorer\Connection Wizard\isignup.bak
# }1 T2 c+ d% ?. Y6 b/ y% NC:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
! N3 ~. U+ M% W: [$ ^; w8 [C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
  t5 K3 y, Q4 q9 z# T8 ]C:\WINDOWS\cmdbcs.exe
. ^/ G3 n" I4 bC:\WINDOWS\mhs3.exe) A( j+ _7 H# `0 s7 W, F+ L$ `# a
C:\WINDOWS\mppjds.exe' P$ q" y5 [5 f$ I: R2 a+ o
C:\WINDOWS\msccrt.exe  x. u" [* ^# M& j) f: v! w
C:\WINDOWS\wgs3.exe+ \  }6 z# p; Y2 l
C:\WINDOWS\wsttrs.exe
3 v5 ]1 I7 R7 G4 q" b) C7 y5 m$ oC:\WINDOWS\system32\cmdbcs.dll1 K' j: \% u+ c: o
C:\WINDOWS\system32\rund1132.exe
( B- \0 y9 d& s+ eC:\WINDOWS\system32\twunk32.exe
+ j2 N' u* {$ ^: _$ C( L, l$ z/ vC:\WINDOWS\system32\wsttrs.dll
( E' W0 E6 C* G% q3 z, fC:\WINDOWS\system32\drivers\npf.sys7 d6 g- q4 h+ M8 o0 B9 p
C:\WINDOWS\system32\drivers\usbme.sys
9 M: I. G  ^/ v+ e1 A重点:C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe3 V+ N) l4 H$ O+ {; z. Y
并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件!
" W0 A8 I% J( m0 _5 e; _/ t$ j7 S% F3 m# F
添加注册表启动项:
7 K/ }3 [$ ~+ B7 M, F8 Z5 E+ {) ~[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
' D3 K+ L0 Y8 p. J; e1 \; I; |"ravshell"="C:\windows\system32\rund1132.exe"/ a# L1 }; |& _' _3 _) q

: D# i0 M- R1 e8 B( C! N[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
1 g& l% i. n5 k" B  g"mhs3"="C:\windows\mhs3.exe"
7 N8 n& T: D# N% }2 m' C"msccrt"="C:\windows\msccrt.exe"9 x- k2 ~9 Z2 K5 ~1 E; y1 g6 |
"cmdbcs"="C:\windows\cmdbcs.exe"
3 U6 I+ Q7 x3 Z+ W; R7 t" k"mppjds"="C:\windows\mppjds.exe"
3 Z7 D6 t$ Z" C% O( D  {"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe". _" x2 h5 ~$ E( j1 f  s/ A
"wgs3"="C:\windows\wgs3.exe"
7 Z2 w" N$ n/ {, Q4 M" M8 i# E"wsttrs"="C:\windows\wsttrs.exe": v6 G% }9 O7 R5 ^; n
- |8 d' ^) H# A% o, A
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]/ `! p" g! a8 E, w( ~  f( i% b
"twin"="C:\windows\system32\twunk32.exe"" v- f+ |% w6 Z9 S
; x5 S: G( G& u, n% }$ P1 F
添加注册表项目:. Z. g3 c$ g$ t: b- w" K8 p& H
[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd": w5 s. z+ {3 ~4 i/ N9 ]$ M  B& S7 U
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"
; J2 e  O( m/ ?: v' \1 u* V
- W: F4 p5 S6 l$ _, H: {5 K并禁用了常用杀软的服务!
4 P- U1 d3 c% Z7 y7 I( z+ c* V9 N! N; G+ u. P( u( \; U
手工查杀方法:$ v  [6 m0 G0 ~2 e$ Q' W
1.用
冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”(隐藏进程,红色显示)如图1
( t4 u- b: k+ ~# p9 l

; `7 x5 N8 Y, r) F" c, C- a
3 y; o4 q9 l( t% ]8 t2.用金山反间谍找到以上病毒文件!(复制路径,修改自身的用户名到查找文件窗口,点击彻底删除即可)如图2:
$ }6 \7 e, D3 q( y# v/ R+ W% e

% o9 B  Y  j3 @6 M' n( W/ V* D% ]+ x* E
3.删除以上病毒添加的注册表项目!" j( z+ j( z  f0 `2 M& p- ~3 U% Q2 S

" n5 {  y0 S4 m4.重新启动计算机!并清空IE缓存和自己的临时文件夹,并恢复自己的杀软件服务!
回复

使用道具 举报

发表于 2007-4-8 13:26:31 | 显示全部楼层
楼上的强人啊4 ~: u! `4 k* e

7 f  l! Z& l4 x6 E最好装个卡巴
回复

使用道具 举报

发表于 2007-4-8 13:28:48 | 显示全部楼层
svchost,lsass,smss这几类文件可能有问题,照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:30:38 | 显示全部楼层
好像是中威金了?
6 G+ A' }' S- @% _' o
6 A+ q6 I0 w, ]. W8 J. {' {中它会出现什么情况?
回复

使用道具 举报

发表于 2007-4-8 13:34:34 | 显示全部楼层
裂痕没事都区什么网站啊   老是出问题。。。。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:35:13 | 显示全部楼层
操。我还没来得及上网就出现病毒了
回复

使用道具 举报

发表于 2007-4-8 13:38:15 | 显示全部楼层
) t' c2 G! W; f, B; m8 P
( A! m# K" f; `/ d: F
清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe! K6 \8 j/ \* k! Q3 x' Z. b% L5 m$ s  ^

  B: g* E  ^$ V2 T

, x3 w2 ]% p. ]9 Z, i3 \3 L/ Z

! J6 x" j% a$ o! b: Y根据SREng扫描日志请按照如下步骤,尝试删除和修复, ^4 S( i1 \) t' D6 m7 x- D

8 R1 x2 }# G1 }! [/ |5 |9 Y9 W运行SRENG--->启动项目--->注册表--->删除以下注册表
; v, Y* E$ p3 v% T/ M<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   [Microsoft Corporation]
7 C) @) M0 Y' w<cmdbcs><; C:\WINDOWS\cmdbcs.exe>   [N/A]
; Z/ h7 [* T6 m3 d4 B     <mppds><; C:\WINDOWS\mppds.exe>   [N/A]
' u9 w: T" @( i3 w* q! R: A! \     <msccrt><; C:\WINDOWS\msccrt.exe>   [N/A]
# [" m5 }& F, d. v# e0 J     <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   []
- d, ~) ^7 s; U     <winform><; C:\WINDOWS\winform.exe>   [N/A]
) q$ e6 j+ D$ @3 K6 D     <wsttrs><; C:\WINDOWS\wsttrs.exe>   [N/A]
, `9 a: k4 q8 w9 E: J9 n<twin><C:\WINDOWS\system32\twunk32.exe>   [] 3 m1 ?  f" w( O. _& q) N$ V* v+ u- x
, B$ d5 T# o" ?- r  B* m
运行SRENG--->启动项目--->注册表--->$ t8 B, H: z$ m
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] ! o; z: t, K8 r$ C; {
     <load><; ?粓?
0 E: a1 Y' p" ?4 K2 x' \" F? >   [N/A]
: z4 @# i+ W( d4 F, h--->编辑为
: ?5 L6 @' s% ?' H1 O[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
. Q! m% c4 i6 ?. h     <load> [N/A] ! i; l2 e; b& B! j

3 N+ o5 v# G6 o1 C/ {/ S1 c1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
0 m' s0 p8 M" ^, ]* g  c清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
# n% ^6 O( x" S关闭QQ等应用程序。
! f% S7 R9 w, v4 Z5 P5 w进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
: O- E* f8 F" ^0 P% X$ y# i  a9 d3 J$ L- O. R
2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip
7 O4 X& D) q" N" j3 z0 P1 v5 d分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】 8 e9 q/ f3 w$ u, @
C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe7 ^+ |& t( q" v  j. `' h2 U; T
C:\WINDOWS\cmdbcs.exe
' W! b! }/ }$ R$ MC:\WINDOWS\mppds.exe
' r+ B; Z" [0 X# A. j+ \C:\WINDOWS\msccrt.exe
  A2 d& o2 l4 z% u$ _& sC:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe
0 p$ G" Q9 q: e( q* UC:\WINDOWS\winform.exe! Z# X( ?% n/ J
C:\WINDOWS\wsttrs.exe8 X9 w& X3 r4 e$ q
C:\WINDOWS\system32\twunk32.exe3 S" B4 Y4 d0 A: V. d+ N
C:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe
4 V) ?' C% B9 l$ I0 k0 H# S9 c- I: o
卸载QQ,删除安装文件夹,重装。

8 ^+ {- \2 H2 I; ~8 H, S2 b0 |; r9 r# ?! A5 q
回复

使用道具 举报

发表于 2007-4-8 13:39:11 | 显示全部楼层
回复

使用道具 举报

发表于 2007-4-8 13:41:00 | 显示全部楼层
恭喜啊,威金,用NOD32杀吧,用卡巴当心你的EXE都掉了。
回复

使用道具 举报

发表于 2007-4-8 13:42:43 | 显示全部楼层
肥水不流外人田,盾给偶吧。
回复

使用道具 举报

发表于 2007-4-8 15:28:20 | 显示全部楼层
楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。! i5 L7 X+ g/ b9 l. a% u3 B

. H) [8 I  ]7 W4 b# f* G. }: ?具体操作可以联系我,包杀包埋!
1 i+ ?" e: d! ~黑肉顿不要。免费咯!- }+ X- r2 T- i3 A, P8 C

' G: y' x) G  e* u4 {7 x! d. w: Z  u8 `4 }: H+ W

4 }# |' q( d7 N% E7 R9 m钱是浮云啊\``~~~
回复

使用道具 举报

发表于 2007-4-8 16:29:26 | 显示全部楼层
估计LZ的XP安装盘有病毒...........
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|=|HERO|=战队 ( 皖ICP备19020640号 )|网站地图

GMT+8, 2025-11-11 13:45

Powered by Discuz! X3.5 Licensed

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表