收藏本站
切换到宽版

 找回密码
 注册

QQ登录

只需一步,快速开始

=|HERO|=战队»黑肉论坛 =|HERO|=游戏纪念馆 =|HERO|=战地2[BF2]分队 帮帮我吧。。。看看这些都是什么东西
12下一页
返回列表 发新帖
查看: 1104|回复: 17

帮帮我吧。。。看看这些都是什么东西

[复制链接]
发表于 2007-4-8 13:16:56 | 显示全部楼层 |阅读模式
悬赏1000黑肉盾未解决
刚做完系统& j0 J2 [. W4 O5 V
. p9 m1 t' e* B6 H2 v
又用AVG在安全模式下杀了一次% y, i8 d% N6 L* k
; c3 C1 S) J3 l; B  A
又出现这么些进程帮我看看
/ `3 J3 I5 D, p- |3 h1 _$ ~* u' o. o$ a! `' |. N. ]: ?
正常时候只有194 I0 ]6 G) `2 O+ P

& M2 e1 E% Z% M9 f) v. H9 o9 g/ X帮我解决下- N' @+ [# P3 K$ b
% {5 z1 Q) e1 V# [
事的起因是因为卡在欢迎使用画面
% ^7 m7 R6 Y% }6 X0 p  w
' s) X2 _7 ~; t! D现在还没彻底解决$ A7 g* U( U9 b. [% M7 y
* C+ n% c& x* v: A3 W0 `
帮帮忙6 K- r+ y  X0 A$ y

$ {( A! M( R9 A快帮我看看~
3 c/ h/ o: w. q( f6 z) n
# H$ V  l% V+ Y" A0 V! s4 v[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

回复

使用道具 举报

great_king
发表于 2007-4-8 13:21:00 | 显示全部楼层
病毒?
回复

使用道具 举报

pwch
发表于 2007-4-8 13:25:00 | 显示全部楼层
转:
# k7 B& S0 Y, P6 ` 4 J. V& j) B" m% u
清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe1 _2 ~3 b, g+ k
4 @4 W; L# C2 W6 E
1,下载2007新版威金专杀工具,费尔托斯特安全...$ h' B" H3 G5 C5 q% Y$ N& b4 F! P" P
2,卸载QQ,删除安装文件夹,
) J) q4 N0 n4 {* o! Q6 p3. 杀毒前关闭系统还原(Win2000系统可以忽略):右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。
. r1 @# a/ t4 g! f8 e! E% g清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。 . S/ K/ R3 e3 t! B
关闭MSN应用程序。 5 {7 p' T& N- z; ?6 [
进行如下操作前,请不要进行任何双击打开磁盘的操作。6 i6 s$ r8 s! b* D( ~7 c8 Z( o, i- D
4,用威金专杀工具扫描电脑.6 j; M: m* D3 d' ^$ G
5,以上完成后,使用费尔托斯特安全
$ Y: D* k# x/ m3 o% ?以上完成重起电脑就可以了.! r: B2 x9 A9 |7 @
注意:使用2007新版威金专杀工具时,; _' L+ }. S. L9 m
1。系统是XP,运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ,下载控件放到SYSTEM32,再运行即可!# d0 \/ w% z$ U% n, B* ^4 x
2。由于在恢复的过程中没有用到多线程导致的容易假死,属于正常现象。 小一点的exe文件应该停顿不严重,大一点的就会停顿。耐心等一下就过去了。
回复

使用道具 举报

pwch
发表于 2007-4-8 13:26:04 | 显示全部楼层
转:
- `% Q/ ^5 s: q; y
' s$ u# q/ ~9 @7 O# x
' M7 D, L7 p2 U* s1 G7 Z6 Y木马:Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静
# q, {* \7 R$ r7 z8 r7 f该木马运行后,访问网络下载多个木马程序。生成以下文件:
, Z( |6 [: G% |  vC:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll$ V1 d# z2 }; S5 U
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE& S1 }& O- d8 @( g2 T' W
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE# D7 [# ?8 V# \9 w+ A' Z
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll' h7 J2 C' b* J
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll4 I. X( L! e/ }3 G: y' E$ ~) ^0 Y; }
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys
: n+ K/ D0 p- vC:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll: l; Q5 f4 o* s" a2 r+ ]
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll
' f. }+ x5 W+ _C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE
; U# j  b! E* B0 w$ K. t5 sC:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe/ h7 Z$ f# d5 I0 K: W# f: O4 v
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe
6 C) Y1 l" }/ J5 o  J* M) WC:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll/ ?/ J# @$ e  u2 s* Z
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll# o3 w! c# Z, e' R7 d1 B
C:\Program Files\Internet Explorer\Connection Wizard\isignup.bak
' B/ N. s* }& |C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll# H) b2 m' R3 F' {) J" }- ]. \
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
& q/ }$ O9 Y+ f# b! {7 \" |9 ^  l( QC:\WINDOWS\cmdbcs.exe& l. p/ \4 B# f# {* K
C:\WINDOWS\mhs3.exe
1 E# @4 J# e2 r3 t- q0 |$ WC:\WINDOWS\mppjds.exe4 t# d% a, M. X/ Q3 \9 K
C:\WINDOWS\msccrt.exe) a* b1 w  ~9 o; ^" F
C:\WINDOWS\wgs3.exe2 e  B0 g, D1 r0 g' [* G3 R
C:\WINDOWS\wsttrs.exe
, e8 D6 d: p& e4 ^! {C:\WINDOWS\system32\cmdbcs.dll
7 Q; O  |& C7 \$ DC:\WINDOWS\system32\rund1132.exe8 z2 P8 A+ z/ }7 D/ ]( X8 M
C:\WINDOWS\system32\twunk32.exe
3 O4 w8 D& l5 N, k& h5 _C:\WINDOWS\system32\wsttrs.dll
: C4 Q  {/ I/ N% o$ I: j: lC:\WINDOWS\system32\drivers\npf.sys! \& n9 b5 }, P9 V. R% _
C:\WINDOWS\system32\drivers\usbme.sys
8 h! Q( \1 E* S& i1 G# I重点:C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe: }1 }: a! U' d2 |6 |6 z  R* Q
并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件!
  ]. t9 j; n% m# ^
! r/ ~) u1 X( D, Q4 r& U添加注册表启动项:8 Y  z6 N8 P) e. }
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]' E+ ~, M# U- x% a: K0 N
"ravshell"="C:\windows\system32\rund1132.exe"
. F1 s) ~7 h7 ^# h" d: ?7 B2 ^+ g/ d9 l1 [
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  o+ ]8 O& ]6 |"mhs3"="C:\windows\mhs3.exe"
8 T5 l- X6 P  {; \/ m  U3 a"msccrt"="C:\windows\msccrt.exe"
# ]/ y6 p3 j" H. U/ g/ d6 H' z"cmdbcs"="C:\windows\cmdbcs.exe"8 Z* S( ~' t; |( ]
"mppjds"="C:\windows\mppjds.exe"
) m2 s( o, d9 d"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"
, i4 {: P+ B$ ?+ J$ `"wgs3"="C:\windows\wgs3.exe"! r, x( [; P4 a6 f* c
"wsttrs"="C:\windows\wsttrs.exe"$ I' g! Q4 r2 D
3 n, h  ^2 c# t, `5 j
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
1 A; K4 C  Y; s; h4 p# `  _"twin"="C:\windows\system32\twunk32.exe"5 |5 r4 Y" a5 T, n( G/ p9 `
/ W& N& B, J, s) j
添加注册表项目:- B# x! Z6 L6 b
[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd"/ D( Y! q- N2 e$ o  }) b
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"
: b! A# ?+ r  t3 j' N
  P( W  d8 |  n2 W并禁用了常用杀软的服务!
: l& v: H9 F- f  [- \- G3 }2 A' d
8 F1 g9 t  [  K, Z$ H( X手工查杀方法:
- F8 G/ t% W- b! d. Q, Z, z1.用冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”(隐藏进程,红色显示)如图1
6 t0 Y* s& r! K
4 h) q9 D* v0 O( @
( `( T; J/ P6 f4 ?2.用金山反间谍找到以上病毒文件!(复制路径,修改自身的用户名到查找文件窗口,点击彻底删除即可)如图2:
' F. W9 d* u5 `- I7 M
. ?# `+ g6 c6 r) _5 i* ~! F
5 y; ]( h6 x9 U2 r0 t# D1 I9 B3.删除以上病毒添加的注册表项目!
2 S) f1 L, N3 L- T0 `' a  I
4 f7 l+ d6 X* O  @+ f4.重新启动计算机!并清空IE缓存和自己的临时文件夹,并恢复自己的杀软件服务!
回复

使用道具 举报

发表于 2007-4-8 13:26:31 | 显示全部楼层
楼上的强人啊1 C7 i, F( C; w
6 M" j: w7 z7 y7 T
最好装个卡巴
回复

使用道具 举报

发表于 2007-4-8 13:28:48 | 显示全部楼层
svchost,lsass,smss这几类文件可能有问题,照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:30:38 | 显示全部楼层
好像是中威金了?
. p8 O! x. z$ Z/ N
% C) B& T% J5 j1 ~: F+ {中它会出现什么情况?
回复

使用道具 举报

发表于 2007-4-8 13:34:34 | 显示全部楼层
裂痕没事都区什么网站啊   老是出问题。。。。
回复

使用道具 举报

 楼主| 发表于 2007-4-8 13:35:13 | 显示全部楼层
操。我还没来得及上网就出现病毒了
回复

使用道具 举报

pwch
发表于 2007-4-8 13:38:15 | 显示全部楼层

) Y# N9 y: ?+ W" c2 H4 ^* d 6 q- H0 T$ U; T) _6 u# }9 Z
清除byetmr.exe,cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe" @) z- Y% w: w6 j
9 z- Y5 w) Q6 W2 O

' Q. i) ]* Q) p) o% m, v: s8 q9 H5 R( |, i7 P
根据SREng扫描日志请按照如下步骤,尝试删除和修复( l% Y) v2 T% F
  H/ C- N3 F5 M
运行SRENG--->启动项目--->注册表--->删除以下注册表; O6 _/ [2 f0 y7 I" N; k" C- ~) d/ J- }4 m
<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   [Microsoft Corporation] 0 F6 T6 [2 o# d2 U7 a# ^2 A0 [! ?
<cmdbcs><; C:\WINDOWS\cmdbcs.exe>   [N/A]
3 Y, ]9 l- R1 h. T, L. D' y! d     <mppds><; C:\WINDOWS\mppds.exe>   [N/A]
: @; E' P. k* {     <msccrt><; C:\WINDOWS\msccrt.exe>   [N/A]
8 R( ~  {( E3 G     <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   [] 8 X6 I( h( e" q( s* j0 j, O2 @2 a) v
     <winform><; C:\WINDOWS\winform.exe>   [N/A]
7 i& o% \  C3 t; t& `0 t; O" O     <wsttrs><; C:\WINDOWS\wsttrs.exe>   [N/A]
# a0 d" ^: v+ L! p( n2 P<twin><C:\WINDOWS\system32\twunk32.exe>   []
! e5 d, E/ l! |+ V3 s; N( E$ e6 X' Y( A
运行SRENG--->启动项目--->注册表--->) o; a8 ?, E. p/ F/ s6 I# m# W/ H0 y
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
% D8 V8 a/ d7 q( D; x* G     <load><; ?粓?
& {; I- ~) B! l$ S) m9 C& X0 v* K6 d? >   [N/A]
8 X8 O; i. H3 J% ~. ^--->编辑为
  `* |/ A" X$ b1 }[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  e% ^  c  `5 B& q& i. s- a     <load> [N/A] / h  x8 h; V2 f- o0 h
! I  d) U5 W( J2 h8 J
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
. @$ v/ P2 c3 L; m清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。 , W) E. e( I. S* g# a
关闭QQ等应用程序。 , q$ _6 M3 F/ N: Z1 A* l' k# v
进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。 : L9 p. X" l: D: n& v4 [* w. G
: u+ r+ Y+ [* h) \" Y
2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip
1 [$ |& g$ F3 @6 Y; D分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】
9 a3 S, S5 f- M/ X. d' ~1 L) Z/ VC:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe& l& n5 }" Y" T* e8 o" u
C:\WINDOWS\cmdbcs.exe3 M) z: }; Q3 K- s" k
C:\WINDOWS\mppds.exe
" s6 T, o8 a  D$ W9 W/ c: ^C:\WINDOWS\msccrt.exe
. R2 E$ t. R! cC:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe3 }+ Q; H8 L" X, f& Z: O. A
C:\WINDOWS\winform.exe) A. A, n& O* d3 }6 ~! \* h
C:\WINDOWS\wsttrs.exe
; g) k' \8 _/ S+ L1 @- ]1 RC:\WINDOWS\system32\twunk32.exe
1 T. {7 S9 a# a2 Q9 m0 W' CC:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe
9 n4 N. _3 g) D  N
( L6 U/ E' F5 S卸载QQ,删除安装文件夹,重装。- L9 R  i( Y' V7 S7 t$ v# L, @1 K
/ q) }, K& T1 K9 P
回复

使用道具 举报

发表于 2007-4-8 13:39:11 | 显示全部楼层
http://www.jiangmin.com/download/zhuansha04.htm
回复

使用道具 举报

发表于 2007-4-8 13:41:00 | 显示全部楼层
恭喜啊,威金,用NOD32杀吧,用卡巴当心你的EXE都掉了。
回复

使用道具 举报

发表于 2007-4-8 13:42:43 | 显示全部楼层
肥水不流外人田,盾给偶吧。
回复

使用道具 举报

mrsobo
发表于 2007-4-8 15:28:20 | 显示全部楼层
楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。
) L- i$ x/ i7 h4 L4 T5 @+ t( `
" u/ M1 _9 Y9 Z$ K  S% G2 y具体操作可以联系我,包杀包埋!* H6 J. y) Y7 s* Q& U2 x/ J5 a8 W
黑肉顿不要。免费咯!. F" d7 x: K0 w4 X# B- V7 b3 I+ T0 g

6 w- P" M1 s$ ]7 g7 k2 F
+ k( c6 r+ d  Q& e/ S
1 Y6 x  s0 S' ~$ Y+ N( i) H4 F钱是浮云啊\``~~~
回复

使用道具 举报

发表于 2007-4-8 16:29:26 | 显示全部楼层
估计LZ的XP安装盘有病毒...........
回复

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|=|HERO|=战队 ( 皖ICP备19020640号 )

GMT+8, 2025-2-2 12:53

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表