收藏本站
切换到宽版

 找回密码
 注册

QQ登录

只需一步,快速开始

=|HERO|=战队»黑肉论坛 =|HERO|=游戏纪念馆 =|HERO|=战地2[BF2]分队 帮帮我吧。。。看看这些都是什么东西
12下一页
返回列表 发新帖
查看: 1272|回复: 17

帮帮我吧。。。看看这些都是什么东西

[复制链接]
发表于 2007-4-8 13:16:56 | 显示全部楼层 |阅读模式
悬赏1000黑肉盾未解决
刚做完系统
' C, M* t3 H$ s, L% p1 t4 ?
- a( Z% w3 R0 z" r, J又用AVG在安全模式下杀了一次# K; I9 Z$ i  i1 R, l! _

5 r  Y5 W! R; u2 H* L- g又出现这么些进程帮我看看
4 D5 B- l" m0 F) J& ~0 `1 x4 U) X2 Z# d
正常时候只有19* ~7 Y& ^- i* f, a6 Z! R. s
4 h4 C! q& {; H0 |# _- `
帮我解决下' T) r  z& X% Q* s8 U
( w) C2 W* K' c* F
事的起因是因为卡在欢迎使用画面0 e) a/ y" |: p6 C% ?4 I. v

( Y4 |: y0 F7 F5 z) ?现在还没彻底解决% \, Q; a+ R) z2 S
( v; f3 r2 ~; Z1 j% q( `, D
帮帮忙+ F3 C% t% `0 {* e0 C0 b
1 q- E1 e. H; o) D2 w, I1 x
快帮我看看~
4 [& H  ^( ?( ]) L& `( \5 X/ Y/ k9 V" Q( d- m# U' ]
[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

回复

使用道具 举报

great_king
发表于 2007-4-8 13:21:00 | 显示全部楼层
病毒?
回复

使用道具 举报

pwch
发表于 2007-4-8 13:25:00 | 显示全部楼层
转:
* h; s. U3 ?$ R9 c8 t! E0 S
0 q% i) l+ \- g0 H: w9 z清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe+ n1 r: W# `; p1 |0 P

* s; N3 j% k8 j" ^4 `1,下载2007新版威金专杀工具,费尔托斯特安全...
# p4 C4 M7 @+ F4 p1 ?% {2,卸载QQ,删除安装文件夹,; E2 R% u' b9 H. |
3. 杀毒前关闭系统还原(Win2000系统可以忽略):右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。 0 w+ s3 ~9 Q% N5 w
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。 4 [- U5 l% c5 F6 [
关闭MSN应用程序。 9 [% |8 g3 B; l
进行如下操作前,请不要进行任何双击打开磁盘的操作。
- F; H( m2 h! g5 s6 ~9 V4,用威金专杀工具扫描电脑.7 _4 L; O0 d+ ~7 Q3 N/ c
5,以上完成后,使用费尔托斯特安全8 R# H8 D# g1 N* {% K
以上完成重起电脑就可以了.9 ~* d# X& g$ t& ~) P7 \
注意:使用2007新版威金专杀工具时,
9 a) W8 S2 m. C; ~' I) M- P3 H1。系统是XP,运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ,下载控件放到SYSTEM32,再运行即可!2 p. D2 K; s6 C* c
2。由于在恢复的过程中没有用到多线程导致的容易假死,属于正常现象。 小一点的exe文件应该停顿不严重,大一点的就会停顿。耐心等一下就过去了。
回复

使用道具 举报

pwch
发表于 2007-4-8 13:26:04 | 显示全部楼层
转:2 w  D- e& h( ~9 @/ g: Y
2 j: P, z5 _7 h) W- e" V0 n
! V( U7 Q9 A" Y& j# a1 N
木马:Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静 ( S1 Z$ Q9 ~( H4 b/ p) M
该木马运行后,访问网络下载多个木马程序。生成以下文件:& o( T: w7 L8 N0 W. R1 b
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll/ t9 n- Y9 a( w  [1 h
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE
/ Z" ~( n8 @2 V5 ^! LC:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE
4 a* N: f% k0 _3 N7 F4 oC:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll; o6 x- _  k2 Z% m
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll
0 P6 H+ X( M) b  K: d& E  L. \9 kC:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys
: u9 @" G) M& u  f% C) G4 Y2 sC:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
( C0 P$ |% Z" v* k3 mC:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll
% l" X: d: S4 K8 e2 n% Z& cC:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE) |2 ]! _1 r9 w0 F
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe  c2 ]/ P7 k' Z2 ^- D4 v6 q
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe
: F: r, Q( Z& E$ c7 q- x, pC:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll( q7 l1 ^# q8 o- z  w. z
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll
3 v: Q8 u1 J  l, w- ?C:\Program Files\Internet Explorer\Connection Wizard\isignup.bak* w8 K# O  T5 s' k4 w7 a+ A
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll8 w1 \& p1 m* _3 X8 |' ~% ^
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys' G! A+ g% g4 I/ R$ Y0 b
C:\WINDOWS\cmdbcs.exe$ t$ k; ], a5 K2 d6 C! n  O* V. k* p
C:\WINDOWS\mhs3.exe& X- {+ q. y7 N; `# O) p
C:\WINDOWS\mppjds.exe& ^& ^% b: R( R, w7 e* }) g, V
C:\WINDOWS\msccrt.exe
5 P- I0 Q& w8 D* fC:\WINDOWS\wgs3.exe9 a2 X0 t5 p+ o+ s8 s
C:\WINDOWS\wsttrs.exe
5 s5 A$ T2 l; UC:\WINDOWS\system32\cmdbcs.dll4 o+ z8 d  w) d) _1 i% i
C:\WINDOWS\system32\rund1132.exe
/ t/ P6 F/ }# t, oC:\WINDOWS\system32\twunk32.exe( M8 n+ X$ h! G! f$ h5 S
C:\WINDOWS\system32\wsttrs.dll3 r8 M# i5 m* Y+ z) M( W+ t3 O
C:\WINDOWS\system32\drivers\npf.sys
% }" B; v9 |7 a( ]C:\WINDOWS\system32\drivers\usbme.sys
! n5 r2 _5 i* f' i' o5 i重点:C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe
* `% Z, L9 Z" |+ z: t4 R3 V并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件!
8 A2 {) o7 @: M3 o. u
3 z9 d8 W, N$ t! W) j添加注册表启动项:
( \$ V7 w: g" w, v' V5 M. I/ c/ s! r[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
0 i0 j. N1 n+ P6 q- F"ravshell"="C:\windows\system32\rund1132.exe"
( m/ e& C; `( ?5 M/ I1 i) D0 q
- M1 Z3 J* k- g- Z2 z[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]. _( B6 Q; n) V8 Z7 r$ g
"mhs3"="C:\windows\mhs3.exe"
9 W! a3 H9 G0 e4 ~( h! ]! k"msccrt"="C:\windows\msccrt.exe"
4 K' T& E# y* D- b5 I! ?"cmdbcs"="C:\windows\cmdbcs.exe"
* ]' v3 K8 T3 y! d! [# v$ j1 a; c  I"mppjds"="C:\windows\mppjds.exe"
4 N" t7 K) {* Q$ P- r"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"$ |  a( q1 ^7 z/ i: {8 W. p% [' b! V
"wgs3"="C:\windows\wgs3.exe"
# X  Y0 D' \: Z$ {( K. C"wsttrs"="C:\windows\wsttrs.exe"5 n( ]$ h% f2 ^  \7 p5 g2 U& G9 {
9 ]. q! s( E" r+ C4 l( a; I% U
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]- m( [" Z& c% C( n% E' e+ ]' O4 ~
"twin"="C:\windows\system32\twunk32.exe"
, u5 ~2 z! A7 L# [2 Z% ]+ H) M6 f6 p& T& B
添加注册表项目:
/ I3 E4 k8 G7 ^! }$ P' U0 @[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd"  [0 [9 }( ~/ j
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"/ A& ^1 H  R0 ]# V

, |+ ~- \! k. a% a并禁用了常用杀软的服务!
1 k3 y/ N5 b/ K9 i& \9 T& d% a: ^/ f  t" @& t6 [
手工查杀方法:
: h, w" D' ]* Q' r1.用冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”(隐藏进程,红色显示)如图1, H7 b1 U" T' B6 h+ S+ N# y& w
. h8 |. G) E0 }
- z' W+ `/ _$ H% ~6 h) b6 [# Y
2.用金山反间谍找到以上病毒文件!(复制路径,修改自身的用户名到查找文件窗口,点击彻底删除即可)如图2:# d& N( i/ d- j$ I/ s

! m! ]( e$ M1 f  d  U; B% O& x7 {0 m6 u; I' f( q( @2 e, o. J0 C
3.删除以上病毒添加的注册表项目!2 A* b) {, [8 T# ]2 u

& `* p8 S+ K2 G0 W4.重新启动计算机!并清空IE缓存和自己的临时文件夹,并恢复自己的杀软件服务!
回复

使用道具 举报

发表于 2007-4-8 13:26:31 | 显示全部楼层
楼上的强人啊3 {2 y; I! K' @: T! ?0 l

; Z6 S4 A/ P8 d# {, U最好装个卡巴
回复

使用道具 举报

发表于 2007-4-8 13:28:48 | 显示全部楼层
svchost,lsass,smss这几类文件可能有问题,照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:30:38 | 显示全部楼层
好像是中威金了?
4 J& k1 J4 \5 V' o7 n5 Z2 }4 n9 L+ |7 B# f$ t
中它会出现什么情况?
回复

使用道具 举报

发表于 2007-4-8 13:34:34 | 显示全部楼层
裂痕没事都区什么网站啊   老是出问题。。。。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:35:13 | 显示全部楼层
操。我还没来得及上网就出现病毒了
回复

使用道具 举报

pwch
发表于 2007-4-8 13:38:15 | 显示全部楼层
- f- q4 Z- |7 @7 C
4 K" |: {4 D4 G9 `
清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe; E" L- q* p% l: N. R
* r1 E$ e9 j9 J& g
1 K0 ]1 l5 g# M% ]) S7 j) ^: }( A

6 v  c# L; t1 R1 ?; @, F( a1 a根据SREng扫描日志请按照如下步骤,尝试删除和修复
4 S4 S2 H$ j8 I: X9 t! \3 r) l( m# B- k4 {! v& T+ }, |
运行SRENG--->启动项目--->注册表--->删除以下注册表( H1 T6 ~2 _+ p  t+ f( W7 p
<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   [Microsoft Corporation] & y; b1 Q7 S: Q0 R) D
<cmdbcs><; C:\WINDOWS\cmdbcs.exe>   [N/A] 9 U7 g: k2 u  _, h) ^
     <mppds><; C:\WINDOWS\mppds.exe>   [N/A]
6 Q% t! U2 x* z' P* X0 t     <msccrt><; C:\WINDOWS\msccrt.exe>   [N/A] & S# T" \8 @' d7 `% K1 H
     <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   []
* W6 v  w$ q- [5 j( [3 _6 f     <winform><; C:\WINDOWS\winform.exe>   [N/A] 4 n. F4 [& j% f5 M6 j* N
     <wsttrs><; C:\WINDOWS\wsttrs.exe>   [N/A]
- X3 A+ p( _, ?7 X" q<twin><C:\WINDOWS\system32\twunk32.exe>   [] 0 p% m- R, T) Z+ i4 y1 }

3 p0 s, M/ w0 l3 s) |! W! x运行SRENG--->启动项目--->注册表--->+ O% h* X# u: x& w, o
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
+ N* [" w# A1 v) W0 ]     <load><; ?粓? ! c' v0 C; D5 i7 E
? >   [N/A]
7 t- a2 r9 S$ d! b--->编辑为
2 U" j+ N/ z8 |: E[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
" E& z3 Z; R. r1 |1 S8 S" t0 P     <load> [N/A] - b+ g5 q% t4 E) H( ~8 t: ^" e- P
/ E1 `! t+ a* @- V0 F
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 - _; V! G# z# Z
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。 . J* T' U7 x7 \5 P2 y+ |
关闭QQ等应用程序。
1 }; `0 @4 P6 ]8 B5 n  I) Q进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
* m( _' m5 _2 I; ]; Y6 o+ o4 A4 `3 X6 `( V; R3 F+ B9 Z6 _3 `
2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip
# Q; {/ V, p$ [3 R  B% e分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】 6 U# |- A# E- i8 \1 Y& g. P. _
C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe
# {' `( w. U0 r; `. @  g# @7 sC:\WINDOWS\cmdbcs.exe
/ Q" J5 P5 o$ VC:\WINDOWS\mppds.exe
# G$ c( B7 D1 ^( i, Z, ]$ AC:\WINDOWS\msccrt.exe
5 b$ q: o+ I" X; pC:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe
) x7 l6 m1 y. P! U" e, M. cC:\WINDOWS\winform.exe
" f: \- W2 R( p% @3 A) WC:\WINDOWS\wsttrs.exe) v+ b% \% [3 X) P( m1 i
C:\WINDOWS\system32\twunk32.exe9 R3 M$ K- Q2 R
C:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe" [; ~9 X) J* q) n' E4 F/ R2 l, i

% Q1 e/ \) A( ^卸载QQ,删除安装文件夹,重装。
% [8 M' g( e: Z! m) H! M7 t& v7 d4 q
回复

使用道具 举报

发表于 2007-4-8 13:39:11 | 显示全部楼层
http://www.jiangmin.com/download/zhuansha04.htm
回复

使用道具 举报

发表于 2007-4-8 13:41:00 | 显示全部楼层
恭喜啊,威金,用NOD32杀吧,用卡巴当心你的EXE都掉了。
回复

使用道具 举报

发表于 2007-4-8 13:42:43 | 显示全部楼层
肥水不流外人田,盾给偶吧。
回复

使用道具 举报

mrsobo
发表于 2007-4-8 15:28:20 | 显示全部楼层
楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。
! h: O" v; I% t8 n  p, e# r' b# v( L9 G/ \+ B, y7 X# n  ]
具体操作可以联系我,包杀包埋!! P; f! n+ Z% P# I: X9 q. D
黑肉顿不要。免费咯!. [. Z- w. m0 K/ i9 c8 d4 c
( S% W7 |% {/ M# K9 L' ?+ ~( }& W
! ^: ~/ n; b- k; |& S/ G7 f

. u3 b4 e, v' Y# Q& X( o钱是浮云啊\``~~~
回复

使用道具 举报

发表于 2007-4-8 16:29:26 | 显示全部楼层
估计LZ的XP安装盘有病毒...........
回复

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|=|HERO|=战队 ( 皖ICP备19020640号 )|网站地图

GMT+8, 2025-11-11 11:49

Powered by Discuz! X3.5 Licensed

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表