收藏本站
切换到宽版

 找回密码
 注册

QQ登录

只需一步,快速开始

=|HERO|=战队»黑肉论坛 =|HERO|=游戏纪念馆 =|HERO|=战地2[BF2]分队 帮帮我吧。。。看看这些都是什么东西
12下一页
返回列表 发新帖
查看: 1338|回复: 17

帮帮我吧。。。看看这些都是什么东西

[复制链接]
发表于 2007-4-8 13:16:56 | 显示全部楼层 |阅读模式
悬赏1000黑肉盾未解决
刚做完系统
- ~% |* B" [* f+ z3 c+ h* H) x. ?0 r+ p
又用AVG在安全模式下杀了一次
- t* \1 F0 z$ c0 p
2 S8 U6 h. i4 t8 {. C( x又出现这么些进程帮我看看4 \' u! I0 ~! Q) h3 N% t$ w* p

8 o0 Q  Q5 {2 A* G正常时候只有19
, n4 j, X/ Q  B% P" x. x" V: z: N3 K' l4 \# G" w
帮我解决下! w/ r  @  P  c* _8 H0 G

8 H+ V0 p. b/ Z0 X4 u) Z4 w事的起因是因为卡在欢迎使用画面2 c& C1 Z* p2 R+ F( ?
( h3 D% k3 T7 g) `
现在还没彻底解决
8 q% [1 K6 x7 g+ e$ }+ X3 S4 f- y: |0 n! ]) j1 V" h
帮帮忙/ ~# f$ }3 N9 ]+ D* b7 |

8 c$ D7 e+ s! z& Y快帮我看看~( M% o. Z# S& W; b$ |8 z( x! `8 k

) I2 R* T* h; ]* K" b& E# H% L5 z[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

回复

使用道具 举报

great_king
发表于 2007-4-8 13:21:00 | 显示全部楼层
病毒?
回复

使用道具 举报

pwch
发表于 2007-4-8 13:25:00 | 显示全部楼层
转:8 O! C) K2 T3 c: b" Q( L) X2 A
; g# J  B0 i5 }3 J$ U& U* s6 j
清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe3 |9 d3 o, x9 \
9 ^; L8 q, X9 q6 u' }7 S" O' |
1,下载2007新版威金专杀工具,费尔托斯特安全...* T9 w7 Q6 P* c7 c8 C5 r
2,卸载QQ,删除安装文件夹,
+ E" p1 t$ u* ?3. 杀毒前关闭系统还原(Win2000系统可以忽略):右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。
  V- o9 Q) Q) e' F/ O/ A5 g清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
) u! N' Z2 w  l关闭MSN应用程序。
1 k8 n2 W( J% l$ t8 a9 V+ ]进行如下操作前,请不要进行任何双击打开磁盘的操作。7 n; H. `: d2 g' f' `
4,用威金专杀工具扫描电脑.
# ]# P7 v. \0 P, Z; l5,以上完成后,使用费尔托斯特安全
7 l$ y9 J" h3 n以上完成重起电脑就可以了.+ V$ U  ~) z9 Y3 u. P0 `
注意:使用2007新版威金专杀工具时,
+ I5 ?4 f4 n& z1 b0 [1 V0 e1。系统是XP,运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ,下载控件放到SYSTEM32,再运行即可!2 a" {5 I( U" J' `) Q1 _0 N
2。由于在恢复的过程中没有用到多线程导致的容易假死,属于正常现象。 小一点的exe文件应该停顿不严重,大一点的就会停顿。耐心等一下就过去了。
回复

使用道具 举报

pwch
发表于 2007-4-8 13:26:04 | 显示全部楼层
转:
5 K; C" _( f, V+ O; {9 s " q8 j# t$ @/ w& b. P: f

* J( I* V$ n9 |木马:Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静
: f2 n0 n! S2 Y4 |( A该木马运行后,访问网络下载多个木马程序。生成以下文件:
0 \# |& x7 [* H8 j) u9 kC:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll: C7 X  x- k8 a; u/ o: Z& O
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE
6 y) i7 a- e: D3 gC:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE
; ]) j& V0 J' Z. v4 uC:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll4 M0 p2 w# g* L! t( z) V% y" n: [
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll% _7 Y8 t. j# [" o
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys  x5 r6 |- I% G# S  a/ v8 H$ `
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
/ B) e- A. ~& H9 K1 YC:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll
' m6 m" j0 N- N. R" l+ JC:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE
5 Q% Y) B5 S9 j) {% o' o( S9 U, tC:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe% N* H! R1 e6 F1 s0 X
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe$ t6 T& N& A$ Z
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll
+ Z1 {; Q$ @3 I7 _C:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll" d# j% ]- T& k
C:\Program Files\Internet Explorer\Connection Wizard\isignup.bak* F1 e4 g, Q& |1 j8 a( T
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll# L# r+ X0 X8 a* s* g! i7 [
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
. l; v  M$ h( i8 M1 IC:\WINDOWS\cmdbcs.exe2 a5 o& @7 j3 I# N0 S  t+ G) W
C:\WINDOWS\mhs3.exe
7 z& W0 i$ N1 _' ?C:\WINDOWS\mppjds.exe
6 X- O$ V  D: J; q* JC:\WINDOWS\msccrt.exe8 G6 O1 u; X7 J' U
C:\WINDOWS\wgs3.exe
! f+ d' z7 }. R5 S4 r* X' f6 Z+ qC:\WINDOWS\wsttrs.exe/ V$ C; a4 {; |4 u
C:\WINDOWS\system32\cmdbcs.dll
& Q- e6 K! |+ h2 k* JC:\WINDOWS\system32\rund1132.exe/ C0 c8 _7 u1 X' G7 j
C:\WINDOWS\system32\twunk32.exe. y" |" j4 \  N7 }: n
C:\WINDOWS\system32\wsttrs.dll
$ c4 _% e7 J$ WC:\WINDOWS\system32\drivers\npf.sys4 w2 ?) V- z3 T' f. i5 b- O
C:\WINDOWS\system32\drivers\usbme.sys
1 r, z; N% p: ?5 J: U重点:C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe
2 D; X# h; A* W' C7 ~& C1 Z并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件!& S/ D( J  U/ A' p( E! Z! g
5 ?3 D+ q5 X+ y5 c5 ^
添加注册表启动项:
) s7 j& L3 Y9 ~: d- S  q[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]5 f) D6 n% w/ X' i& W3 a% U
"ravshell"="C:\windows\system32\rund1132.exe": K1 B5 }& B8 Q- y

3 l; V5 {. ~* M, x6 [8 W% R[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
( J. w0 }9 F# R1 b"mhs3"="C:\windows\mhs3.exe"
8 O- a2 Z: x2 ]"msccrt"="C:\windows\msccrt.exe"+ n" T& g- i4 M. K" v7 u
"cmdbcs"="C:\windows\cmdbcs.exe"
% ~5 A% V9 O3 N1 Z; X! ]"mppjds"="C:\windows\mppjds.exe"2 A- @" t  P" ~. |' T) B! F) f; b
"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"7 d6 C4 f* y8 f7 N
"wgs3"="C:\windows\wgs3.exe"
+ ?9 y' q4 Q2 b6 m7 v$ x# Y"wsttrs"="C:\windows\wsttrs.exe"* f6 Q* P% ^: m) |& W

- [7 k; ?. a; Q( m[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
; V# T. l. j+ O' }& ?4 i1 R5 Z"twin"="C:\windows\system32\twunk32.exe"+ V/ p2 D# `& G$ A9 Y) W+ {5 X1 d

% u! Y* s; B4 V" K4 o6 @添加注册表项目:
$ Q% }- y$ {/ @3 p6 n( r[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd"
% w' v& F0 N& W( W* k[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"1 `- n9 f9 ?* F. \9 l
8 c0 X& x& ]7 Y4 f% o% |
并禁用了常用杀软的服务!
: J; z1 t% L2 u% d3 m& `0 v7 r# x1 i3 e& V; U/ _: z
手工查杀方法:: L" @  q* H5 Y! Q
1.用冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”(隐藏进程,红色显示)如图16 N- p; B# `; V4 ~9 r# A! \3 [
6 L/ S2 C: j- `6 C
8 b! b7 q0 i% J+ U1 _
2.用金山反间谍找到以上病毒文件!(复制路径,修改自身的用户名到查找文件窗口,点击彻底删除即可)如图2:
% \8 p2 t, f- {
2 k  n# v: I+ [# P  d$ w
4 c+ ~' ~# a8 C; @% O$ n. N3.删除以上病毒添加的注册表项目!+ P- q1 e2 C/ v  e1 x, d1 F

' j( \2 |9 t( l: x0 b2 w6 K" j4.重新启动计算机!并清空IE缓存和自己的临时文件夹,并恢复自己的杀软件服务!
回复

使用道具 举报

发表于 2007-4-8 13:26:31 | 显示全部楼层
楼上的强人啊' X0 W/ |* V! H: \5 X4 |" h
, U' N3 |2 e, E. h, h5 E1 U3 e
最好装个卡巴
回复

使用道具 举报

发表于 2007-4-8 13:28:48 | 显示全部楼层
svchost,lsass,smss这几类文件可能有问题,照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:30:38 | 显示全部楼层
好像是中威金了?! X* D  ^3 h' }, H

! w2 h- j6 z$ D) G9 U+ J! h& h; e) r! q中它会出现什么情况?
回复

使用道具 举报

发表于 2007-4-8 13:34:34 | 显示全部楼层
裂痕没事都区什么网站啊   老是出问题。。。。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:35:13 | 显示全部楼层
操。我还没来得及上网就出现病毒了
回复

使用道具 举报

pwch
发表于 2007-4-8 13:38:15 | 显示全部楼层

  ?- v  |  Z6 u0 W * T5 u+ l# J4 c* Q- b+ {" {/ E; M% e
清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe
& B% y- d  S! u( o; J1 `- |
% j4 Z  p& E- Y2 c2 Q  g
  y9 e/ |1 s& |2 N$ ~
- ~% q& m, U7 q' Z' x/ B6 @* ~, {% |
根据SREng扫描日志请按照如下步骤,尝试删除和修复$ `: k: k+ }% V7 M: C

: ]. e2 i- P, |# k运行SRENG--->启动项目--->注册表--->删除以下注册表- U) l, y# @* }
<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   [Microsoft Corporation]
9 E0 v8 H1 J, s/ I% a2 C1 R<cmdbcs><; C:\WINDOWS\cmdbcs.exe>   [N/A]
, a" E3 j5 c& v; x& R' p( R$ k  I     <mppds><; C:\WINDOWS\mppds.exe>   [N/A]
3 A  P% P' `7 ?5 }  V, s" Q( G1 K0 s     <msccrt><; C:\WINDOWS\msccrt.exe>   [N/A] , w- r1 u6 M+ t6 h$ c
     <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   []
! X  I- @6 j( ]) y( U     <winform><; C:\WINDOWS\winform.exe>   [N/A]
) ?7 n+ y7 ?: w3 z3 D+ S0 V/ Z' |     <wsttrs><; C:\WINDOWS\wsttrs.exe>   [N/A]
! J, P1 V# q5 h! G  x6 d" ^<twin><C:\WINDOWS\system32\twunk32.exe>   []
6 S% y5 y# A3 Y5 C/ F6 C1 s
0 w' O4 f: V/ J" z运行SRENG--->启动项目--->注册表--->
: e9 I& a% j, ~, Y# p) g! [% }[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 5 t5 O- ]. S1 y. y9 z
     <load><; ?粓?
/ H0 `0 J( {+ i; }, Z$ b( u? >   [N/A] ! v% b/ r+ e0 f" d5 |
--->编辑为9 o. b1 {: b! o
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] + M6 }! h, o# ?1 Z+ @
     <load> [N/A]
( m* {/ ?9 G! p4 ?4 J- W  |% }7 I- g
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 * ?6 _6 E0 e( z
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
! F" l- S+ V8 ^+ e! f: F关闭QQ等应用程序。
8 s2 O+ a7 ?* b! Y' f1 J/ a进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
  `; M8 q: I8 C4 c/ _0 b- a, }# n, u1 V) ~7 o' `) Z' ?4 x
2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip* Y7 D* w' i' d% y) O
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】
% i8 _" \3 {/ }* vC:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe
' P% h) L3 w) E' X. V# ~8 cC:\WINDOWS\cmdbcs.exe  N  }# R) y# U/ j' j1 f2 ?5 F
C:\WINDOWS\mppds.exe9 O0 G+ P5 }, o& n/ }
C:\WINDOWS\msccrt.exe# p7 {: x: h4 v9 p
C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe
2 \" W/ O9 u0 x, v- n/ y1 j! dC:\WINDOWS\winform.exe5 U' e2 m( ?8 K, b& Q
C:\WINDOWS\wsttrs.exe
: S3 u7 Z3 J' zC:\WINDOWS\system32\twunk32.exe2 h" d5 d6 b% ?
C:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe
% p' @+ B4 c5 g
" T) G+ e. W5 v( J4 c5 P% o卸载QQ,删除安装文件夹,重装。
; l3 p  n: t* r3 t: r2 ^4 }
# Z# j9 s0 A& k6 d1 y0 o( {$ ~
回复

使用道具 举报

发表于 2007-4-8 13:39:11 | 显示全部楼层
http://www.jiangmin.com/download/zhuansha04.htm
回复

使用道具 举报

发表于 2007-4-8 13:41:00 | 显示全部楼层
恭喜啊,威金,用NOD32杀吧,用卡巴当心你的EXE都掉了。
回复

使用道具 举报

发表于 2007-4-8 13:42:43 | 显示全部楼层
肥水不流外人田,盾给偶吧。
回复

使用道具 举报

mrsobo
发表于 2007-4-8 15:28:20 | 显示全部楼层
楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。
+ v4 W2 A; J. m+ ?; F& ]4 C
. Y6 r# c1 A$ \( ^8 }具体操作可以联系我,包杀包埋!% q% L1 M+ p& @/ q+ B5 o2 j
黑肉顿不要。免费咯!
. s- n8 W2 R' p& |# [
5 s$ H0 w, S4 S7 @3 H
5 T  R+ A. T$ \& {/ k' [( \- q% W, A. S+ V; V. T- G, _
钱是浮云啊\``~~~
回复

使用道具 举报

发表于 2007-4-8 16:29:26 | 显示全部楼层
估计LZ的XP安装盘有病毒...........
回复

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|=|HERO|=战队 ( 皖ICP备19020640号 )|网站地图

GMT+8, 2025-12-24 22:58

Powered by Discuz! X3.5 Licensed

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表