收藏本站
切换到宽版

 找回密码
 注册

QQ登录

只需一步,快速开始

=|HERO|=战队»黑肉论坛 =|HERO|=游戏纪念馆 =|HERO|=战地2[BF2]分队 帮帮我吧。。。看看这些都是什么东西
12下一页
返回列表 发新帖
查看: 1496|回复: 17

帮帮我吧。。。看看这些都是什么东西

[复制链接]
发表于 2007-4-8 13:16:56 | 显示全部楼层 |阅读模式
悬赏1000黑肉盾未解决
刚做完系统
& k4 Q- {+ Y% q8 R* E# g% f8 z! N' n* P1 K; `- I7 b
又用AVG在安全模式下杀了一次" [9 q  L/ ^& \7 k' w" @

# a: E( i/ _& q: _又出现这么些进程帮我看看
+ Q0 X& y2 @# K5 z
  a& z" g* H2 K: W# Q$ H8 {0 I正常时候只有19
! w" s2 f  X8 {' {2 c, P- P9 Q& f# R0 h: {7 T% R
帮我解决下
: N: {: n# ^6 d7 V) D
5 N3 k1 s: y! g/ U6 X事的起因是因为卡在欢迎使用画面
/ C; Y( |4 R$ ]7 z% a
0 K7 X# ~3 ~; f现在还没彻底解决
1 `: V6 l; \: L
5 C2 O! f* G6 \  B帮帮忙
7 b3 ?1 j( d3 R1 I4 u/ M. W: t; |; f( l) q+ t
快帮我看看~' D* ]- v8 o( e
# T5 j- C6 g, T
[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

回复

使用道具 举报

great_king
发表于 2007-4-8 13:21:00 | 显示全部楼层
病毒?
回复

使用道具 举报

pwch
发表于 2007-4-8 13:25:00 | 显示全部楼层
转:/ a6 p4 |; x) H- d* v, O

6 @1 E1 b1 p4 h7 v清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe
5 U, A7 ^6 u0 }# M( Y ( E4 ]) l  A2 A" V, g4 R7 J
1,下载2007新版威金专杀工具,费尔托斯特安全...
3 o5 @/ K6 F4 a' u2,卸载QQ,删除安装文件夹,
' c& g9 P, G# Q. X* W1 \3. 杀毒前关闭系统还原(Win2000系统可以忽略):右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。 ( D& f- g$ d% f* _1 e- z
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。 , E" N. d8 w& T! G8 z
关闭MSN应用程序。 1 ~5 r  i9 l1 J6 }' a# d
进行如下操作前,请不要进行任何双击打开磁盘的操作。& D( r) i; {1 ~& H6 O# m& v
4,用威金专杀工具扫描电脑.2 H' W  G' c7 {: v
5,以上完成后,使用费尔托斯特安全" {8 `/ _6 {- L/ g; _- E( X) y8 N
以上完成重起电脑就可以了.4 V! A) ~) s5 R
注意:使用2007新版威金专杀工具时,* g# V) d/ o- P2 S  v  h
1。系统是XP,运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ,下载控件放到SYSTEM32,再运行即可!/ j( h1 N% M$ \7 H$ j7 B
2。由于在恢复的过程中没有用到多线程导致的容易假死,属于正常现象。 小一点的exe文件应该停顿不严重,大一点的就会停顿。耐心等一下就过去了。
回复

使用道具 举报

pwch
发表于 2007-4-8 13:26:04 | 显示全部楼层
转:
5 b: L3 ~$ W/ V
8 ^2 _! ]/ m/ K1 e 7 h! P  ?, L0 ]. c% ~
木马:Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静
) d+ a+ q2 K/ ]) Z6 x! `5 N  n2 ^该木马运行后,访问网络下载多个木马程序。生成以下文件:
1 ]8 E% I9 f2 ^7 x% D+ C  A/ {C:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll
# f* T0 c4 f. K* vC:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE9 ^5 [3 A, C9 i: k' s+ g: z
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE
3 V* f0 r% w- Z6 A& O, \8 ZC:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll
& T1 p2 ^5 F( ~C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll! X# C  S3 Z6 d0 s; d- C( a, l7 n
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys
4 |0 u8 a1 S- i- c2 RC:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
; n4 n) _. Y" L( B( d" XC:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll
2 \! x1 l0 w/ A9 A$ J% G: }! x! m8 K3 tC:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE9 K, W$ p  ?0 [9 l, b
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe
* n! I) c0 }* Q8 b* Z  Y5 a! HC:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe
8 M: s) o$ V2 N' uC:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll
# J6 P. I. C* i2 V& ^3 P- HC:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll" p% k* \5 n) w9 n. Y# _$ M2 K
C:\Program Files\Internet Explorer\Connection Wizard\isignup.bak/ c( S3 B7 h/ Z7 t$ J
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll" C* d; V# n, M
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys9 x& X8 ?9 |. ^6 m6 X& q% S
C:\WINDOWS\cmdbcs.exe9 h) J% v! @7 ^& H9 y& s
C:\WINDOWS\mhs3.exe1 t3 J! |: W) Q& e2 A. T- S
C:\WINDOWS\mppjds.exe# V0 L+ h+ t! q7 |3 z
C:\WINDOWS\msccrt.exe
6 L2 F/ l! r% HC:\WINDOWS\wgs3.exe
3 L) d+ ^$ |% m' u: n  t% _/ LC:\WINDOWS\wsttrs.exe! a/ g" J. n+ G7 l; V+ r
C:\WINDOWS\system32\cmdbcs.dll4 }" B+ q% w0 _! j
C:\WINDOWS\system32\rund1132.exe0 e, N# _, p2 S1 c7 Z9 s
C:\WINDOWS\system32\twunk32.exe" V  W5 C9 U1 E9 B8 @
C:\WINDOWS\system32\wsttrs.dll, V" x% D/ e+ x. Y- f6 }* i
C:\WINDOWS\system32\drivers\npf.sys1 Q3 e6 r5 a- F1 M
C:\WINDOWS\system32\drivers\usbme.sys
/ p, U: d. j4 e5 d( c重点:C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe3 q0 q+ p0 A+ x! l' b6 R* D0 p3 t
并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件!
; U6 ?2 Y! E1 t2 x; S# E; C( v
$ D! n3 B6 C6 B( N添加注册表启动项:1 d: t) p" C$ A* [1 B
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]1 e4 X* w  U, x
"ravshell"="C:\windows\system32\rund1132.exe"; E: v, _+ {$ x6 s/ p3 N
; g& }: ?3 T1 r  c( P
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
$ C$ E: z* ~& `"mhs3"="C:\windows\mhs3.exe"
; i5 E5 K/ P- d+ V9 T; y"msccrt"="C:\windows\msccrt.exe"
6 F9 Y, V6 r4 U: A! e" A"cmdbcs"="C:\windows\cmdbcs.exe"
/ ~! n3 f7 y8 ^0 D" _9 y"mppjds"="C:\windows\mppjds.exe"2 F1 w! o7 b% u# {
"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"
6 m0 T8 F5 M+ p; K$ b& ?"wgs3"="C:\windows\wgs3.exe"
3 [+ n+ X2 J8 X3 v' t"wsttrs"="C:\windows\wsttrs.exe"4 I7 }7 D) O( q- a" D" C- }" T

) ?( ]& F/ I8 b1 U/ Y[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]. s1 G8 D) u, O+ @% A
"twin"="C:\windows\system32\twunk32.exe"6 U, d% U' m1 m+ B
7 |: d4 ~7 c, q, j$ J8 t
添加注册表项目:
4 f! P  j% K. i1 v' C' O: l[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd"
4 }, H' ]+ @0 E1 b, X[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"
: O8 b5 `: A" v8 y& y$ F7 G
) C: u: l4 g8 y) J6 }" \并禁用了常用杀软的服务!  s; z1 B  @# {2 b1 q& _" E4 m

% p7 f. M% n, }5 @手工查杀方法:
% D8 _/ t- E7 ?8 |, k9 `1.用冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”(隐藏进程,红色显示)如图12 `- S+ W' I5 b

' [8 ~8 _9 x4 H5 }1 G# C1 \1 R+ n9 L7 T& k7 |; C" b
2.用金山反间谍找到以上病毒文件!(复制路径,修改自身的用户名到查找文件窗口,点击彻底删除即可)如图2:
" B6 f& J- f& ]7 U4 a/ ^- m: `9 l
4 y6 h$ ^  a& e, L
2 V: {1 O) s4 B3.删除以上病毒添加的注册表项目!
! `; o8 O; H# o# U* |  l8 D
3 r' \& G/ q+ L& c0 V% y$ Y4.重新启动计算机!并清空IE缓存和自己的临时文件夹,并恢复自己的杀软件服务!
回复

使用道具 举报

发表于 2007-4-8 13:26:31 | 显示全部楼层
楼上的强人啊
) s! J2 a" R  s: }- V3 _  @  M. t" e2 a+ u1 v
最好装个卡巴
回复

使用道具 举报

发表于 2007-4-8 13:28:48 | 显示全部楼层
svchost,lsass,smss这几类文件可能有问题,照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:30:38 | 显示全部楼层
好像是中威金了?
6 I6 t' q. U) V& b8 Z: `( L" @* D$ V$ z/ w! x- N3 ^7 ^# ^
中它会出现什么情况?
回复

使用道具 举报

发表于 2007-4-8 13:34:34 | 显示全部楼层
裂痕没事都区什么网站啊   老是出问题。。。。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:35:13 | 显示全部楼层
操。我还没来得及上网就出现病毒了
回复

使用道具 举报

pwch
发表于 2007-4-8 13:38:15 | 显示全部楼层
7 x3 S* y* q( Z/ U% B$ @

3 Z* S  T# w) F0 @0 @清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe
% s0 Y2 O$ H% r; M1 c3 c' i' {! O* n . \. n6 ?# R7 F* J1 y

8 `2 p/ @+ x) a. L% h' o7 l% ~9 t" k4 g1 E1 W2 @
根据SREng扫描日志请按照如下步骤,尝试删除和修复
! ~3 O8 f# [! e- q+ l! L+ `5 O
* l7 m3 C* f% S/ f0 K* l3 D! }1 i运行SRENG--->启动项目--->注册表--->删除以下注册表' h( e( E" k5 V7 W  W: ~! c
<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   [Microsoft Corporation] 8 V, O8 h+ c! ]0 r" I0 u: D
<cmdbcs><; C:\WINDOWS\cmdbcs.exe>   [N/A] 9 s) X; R- L0 }1 L
     <mppds><; C:\WINDOWS\mppds.exe>   [N/A] 2 I. f" E- P$ M
     <msccrt><; C:\WINDOWS\msccrt.exe>   [N/A] , f# z. t5 e3 [! J
     <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   [] . B( e' x% B& R; d' k
     <winform><; C:\WINDOWS\winform.exe>   [N/A] 8 j, ~9 S6 E5 P/ m& [, T# l
     <wsttrs><; C:\WINDOWS\wsttrs.exe>   [N/A]
6 r( B$ K5 E, w/ z1 \<twin><C:\WINDOWS\system32\twunk32.exe>   [] " Y6 k5 |  }! L& M

1 K8 H, o9 }& {6 J运行SRENG--->启动项目--->注册表--->2 `+ k/ l4 i7 p1 v6 A+ ~, J& U: d# b
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 7 s8 |& }0 D& }( f- I
     <load><; ?粓?
- O3 X" z  z( _. h? >   [N/A] - c6 g7 I) |/ B, E! w1 F
--->编辑为
# A% v1 `5 U) [/ w) H! s+ d[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] $ J2 a( [/ N7 y" p6 Q; [
     <load> [N/A]
/ |, s" F7 L  W$ z! D! D' M/ s
9 t: O/ e# u  o7 \1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 " N% m" v4 @  {* h2 f+ [- g1 H
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。 4 w' |) ?; ]# B4 Z
关闭QQ等应用程序。
( C! b6 Y- S7 X  l0 D+ z, z进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
! `3 l+ b$ s( }8 n% `$ L
0 P4 v& j! e: n$ e2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip
" \6 _* s! U' V4 }' ~/ |& X# P分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】 $ s: b; B' T: n% T
C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe
1 A4 ^( j+ K, m' o1 U6 A0 l8 Y& xC:\WINDOWS\cmdbcs.exe
. S" y+ h+ _. t- p* gC:\WINDOWS\mppds.exe
9 o# U! y/ I  U% B/ Y2 Y+ C# X4 uC:\WINDOWS\msccrt.exe
* w2 Q2 K( v( K# J. yC:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe
1 @& x8 Y$ q0 Z5 cC:\WINDOWS\winform.exe
( _, E1 E& [2 G  o  BC:\WINDOWS\wsttrs.exe$ t/ V% G& N- G* M
C:\WINDOWS\system32\twunk32.exe) v4 J! ?( C6 w
C:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe
3 @' T  u9 H. K* _0 D' }
7 a% |* U( u' z卸载QQ,删除安装文件夹,重装。
: t! l" o6 x! I* f" _; B0 w7 c  h# D$ l0 S0 F
回复

使用道具 举报

发表于 2007-4-8 13:39:11 | 显示全部楼层
http://www.jiangmin.com/download/zhuansha04.htm
回复

使用道具 举报

发表于 2007-4-8 13:41:00 | 显示全部楼层
恭喜啊,威金,用NOD32杀吧,用卡巴当心你的EXE都掉了。
回复

使用道具 举报

发表于 2007-4-8 13:42:43 | 显示全部楼层
肥水不流外人田,盾给偶吧。
回复

使用道具 举报

mrsobo
发表于 2007-4-8 15:28:20 | 显示全部楼层
楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。  V0 A: ^6 n% a9 O) a5 t

5 }4 v/ n/ ~- b! r具体操作可以联系我,包杀包埋!
. C7 Y- H, s! k6 g$ n, k黑肉顿不要。免费咯!
4 m: N- C4 g9 z$ l# ]4 Q5 g
% f9 x+ F; ^2 F4 L# w$ i, h( Y% [+ x) U; m, o' E

, V* t9 I. n  L$ v钱是浮云啊\``~~~
回复

使用道具 举报

发表于 2007-4-8 16:29:26 | 显示全部楼层
估计LZ的XP安装盘有病毒...........
回复

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|=|HERO|=战队 ( 皖ICP备19020640号 )|网站地图

GMT+8, 2026-5-7 12:09

Powered by Discuz! X3.5 Licensed

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表