帮帮我吧。。。看看这些都是什么东西

=|HERO|=LieHen

刚做完系统

又用AVG在安全模式下杀了一次
! p0 W# @: c8 A
0 B: Q0 O$ q5 Q6 S; v% a+ j又出现这么些进程帮我看看
& s$ j4 Z* m" m3 a2 \& ^
正常时候只有19
+ _9 w# ~2 y: Q# [) [* u" A
帮我解决下

4 c. I# d( b4 F* S: t事的起因是因为卡在欢迎使用画面
% ^1 F* t" m0 ~2 k& a
现在还没彻底解决

帮帮忙
% O6 R) l" \+ w$ S
$ \% n% H; e3 x& @5 ^快帮我看看~

[ 本帖最后由 =|HERO|=LieHen 于 2007-4-8 13:45 编辑 ]

great_king

病毒？

pwch

转:

清除byetmr.exe，cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe
6 ^8 E" h: v' j, V9 d
1,下载2007新版威金专杀工具,费尔托斯特安全...
2,卸载QQ，删除安装文件夹，
3. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键> 我的电脑 >属性>系统还原>在所有驱动器上关闭系统还原 打勾即可。
5 l, ?* T8 j5 A6 f5 T4 E清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。
9 q3 M4 z; o4 c* b% ~. }* X$ T关闭MSN应用程序。
& F, _" L1 F* n# _1 i进行如下操作前，请不要进行任何双击打开磁盘的操作。
& c6 B" |% @' E) c( P4,用威金专杀工具扫描电脑.
5,以上完成后,使用费尔托斯特安全
以上完成重起电脑就可以了.
注意:使用2007新版威金专杀工具时,
1。系统是XP，运行后会出现 componont 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid ，下载控件放到SYSTEM32，再运行即可！
! f" n1 l* I4 N. S" [2。由于在恢复的过程中没有用到多线程导致的容易假死，属于正常现象。 小一点的exe文件应该停顿不严重，大一点的就会停顿。耐心等一下就过去了。

pwch

转:


& |6 _/ D1 \* T  W) V- r1 l木马：Backdoor.Win32.Agent.air rund1132.exe byetmr.exe解决方法2007-03-18 22:38:47 / 天气: 晴朗 / 心情: 平静
该木马运行后，访问网络下载多个木马程序。生成以下文件：
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE
7 X3 Z0 C4 V! E% P8 P5 f# `C:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE
5 \# n+ d# P# J1 X1 ]" C+ d: EC:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
+ R$ Q- F$ O0 i* N: ]C:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe
. Y5 c  C2 `" y  x1 k& VC:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll
1 @$ O/ K6 w. N( a3 J/ xC:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.bak
# }1 T2 c+ d% ?. Y6 b/ y% NC:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
! N3 ~. U+ M% W: [$ ^; w8 [C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
  t5 K3 y, Q4 q9 z# T8 ]C:\WINDOWS\cmdbcs.exe
. ^/ G3 n" I4 bC:\WINDOWS\mhs3.exe
C:\WINDOWS\mppjds.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\wgs3.exe
C:\WINDOWS\wsttrs.exe
3 v5 ]1 I7 R7 G4 q" b) C7 y5 m$ oC:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\rund1132.exe
( B- \0 y9 d& s+ eC:\WINDOWS\system32\twunk32.exe
+ j2 N' u* {$ ^: _$ C( L, l$ z/ vC:\WINDOWS\system32\wsttrs.dll
( E' W0 E6 C* G% q3 z, fC:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\drivers\usbme.sys
9 M: I. G  ^/ v+ e1 A重点：C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe
并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件！
" W0 A8 I% J( m0 _5 e; _
添加注册表启动项：
7 K/ }3 [$ ~+ B7 M, F8 Z5 E+ {) ~[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
' D3 K+ L0 Y8 p. J; e1 \; I; |"ravshell"="C:\windows\system32\rund1132.exe"

: D# i0 M- R1 e8 B( C! N[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
1 g& l% i. n5 k" B  g"mhs3"="C:\windows\mhs3.exe"
7 N8 n& T: D# N% }2 m' C"msccrt"="C:\windows\msccrt.exe"
"cmdbcs"="C:\windows\cmdbcs.exe"
3 U6 I+ Q7 x3 Z+ W; R7 t" k"mppjds"="C:\windows\mppjds.exe"
3 Z7 D6 t$ Z" C% O( D  {"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"
"wgs3"="C:\windows\wgs3.exe"
7 Z2 w" N$ n/ {, Q4 M" M8 i# E"wsttrs"="C:\windows\wsttrs.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"twin"="C:\windows\system32\twunk32.exe"

添加注册表项目：
[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"
; J2 e  O( m/ ?: v' \1 u* V
- W: F4 p5 S6 l$ _, H: {5 K并禁用了常用杀软的服务！
4 P- U1 d3 c% Z7 y7 I( z
手工查杀方法：
1.用冰刃结束“C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe”（隐藏进程，红色显示）如图1
( t4 u- b: k+ ~# p9 l
; `7 x5 N8 Y, r) F" c, C- a
3 y; o4 q9 l( t% ]8 t2.用金山反间谍找到以上病毒文件！（复制路径，修改自身的用户名到查找文件窗口，点击彻底删除即可）如图2：
$ }6 \7 e, D3 q( y# v/ R+ W% e
% o9 B  Y  j3 @6 M' n
3.删除以上病毒添加的注册表项目！

" n5 {  y0 S4 m4.重新启动计算机！并清空IE缓存和自己的临时文件夹，并恢复自己的杀软件服务！

=|HERO|=OGSTKY

楼上的强人啊

7 f  l! Z& l4 x6 E最好装个卡巴

tyrannosaurus

svchost,lsass,smss这几类文件可能有问题，照道理应该是小写的。我以前碰到过一种病毒就是把这几个文件以同名的大写线程挤掉。

=|HERO|=LieHen

好像是中威金了？
6 G+ A' }' S- @% _' o
6 A+ q6 I0 w, ]. W8 J. {' {中它会出现什么情况？

=|HERO|=OTO@BF2

裂痕没事都区什么网站啊   老是出问题。。。。

=|HERO|=LieHen

操。我还没来得及上网就出现病毒了

pwch

转

清除byetmr.exe，cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe

  B: g* E  ^$ V2 T

, x3 w2 ]% p. ]9 Z, i3 \3 L/ Z ! J6 x" j% a$ o! b: Y根据SREng扫描日志请按照如下步骤，尝试删除和修复 8 R1 x2 }# G1 }! [/ |5 |9 Y9 W运行SRENG--->启动项目--->注册表--->删除以下注册表 ; v, Y* E$ p3 v% T/ M<svc><; C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe>   [Microsoft Corporation] 7 C) @) M0 Y' w<cmdbcs><; C:\WINDOWS\cmdbcs.exe>   [N/A] ; Z/ h7 [* T6 m3 d4 B     <mppds><; C:\WINDOWS\mppds.exe>   [N/A] ' u9 w: T" @( i3 w* q! R: A! \     <msccrt><; C:\WINDOWS\msccrt.exe>   [N/A] # [" m5 }& F, d. v# e0 J     <upxdnd><; C:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe>   [] - d, ~) ^7 s; U     <winform><; C:\WINDOWS\winform.exe>   [N/A] ) q$ e6 j+ D$ @3 K6 D     <wsttrs><; C:\WINDOWS\wsttrs.exe>   [N/A] , `9 a: k4 q8 w9 E: J9 n<twin><C:\WINDOWS\system32\twunk32.exe>   [] 运行SRENG--->启动项目--->注册表---> [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]      <load><; ?粓? 0 E: a1 Y' p" ?4 K2 x' \" F? >   [N/A] : z4 @# i+ W( d4 F, h--->编辑为 : ?5 L6 @' s% ?' H1 O[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] . Q! m% c4 i6 ?. h     <load> [N/A] 3 N+ o5 v# G6 o1 C/ {/ S1 c1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。 0 m' s0 p8 M" ^, ]* g  c清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。 # n% ^6 O( x" S关闭QQ等应用程序。 ! f% S7 R9 w, v4 Z5 P5 w进行如下操作前，请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。 : O- E* f8 F" ^0 P% X$ y 2.用强制删除工具 PowerRMV 下载地址: 下载地址:http://dl.filseclab.com/down/powerrmv.zip 7 O4 X& D) q" N" j3 z0 P1 v5 d分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭 【有找不到提示的请忽略错误继续】 C:\DOCUME~1\Diva\LOCALS~1\Temp\byetmr.exe C:\WINDOWS\cmdbcs.exe ' W! b! }/ }$ R$ MC:\WINDOWS\mppds.exe ' r+ B; Z" [0 X# A. j+ \C:\WINDOWS\msccrt.exe   A2 d& o2 l4 z% u$ _& sC:\DOCUME~1\Diva\LOCALS~1\Temp\upxdnd.exe 0 p$ G" Q9 q: e( q* UC:\WINDOWS\winform.exe C:\WINDOWS\wsttrs.exe C:\WINDOWS\system32\twunk32.exe C:\DOCUME~1\Diva\LOCALS~1\Temp\svchost.exe 4 V) ?' C% B9 l 卸载QQ，删除安装文件夹，重装。 8 ^+ {- \2 H2 I; ~8 H

=|HERO|=WuJJ

http://www.jiangmin.com/download/zhuansha04.htm

=|HERO|=laomi

恭喜啊，威金，用NOD32杀吧，用卡巴当心你的EXE都掉了。

=|HERO|=laomi

肥水不流外人田，盾给偶吧。

mrsobo

楼主有空联系我,你可以用“恶意软件专杀工具”+“U盘病毒专杀”+“安全卫士360”就可以搞定一切。

. H) [8 I  ]7 W4 b# f* G. }: ?具体操作可以联系我,包杀包埋！
1 i+ ?" e: d! ~黑肉顿不要。免费咯！

' G: y' x) G  e* u

4 }# |' q( d7 N% E7 R9 m钱是浮云啊\``~~~

=|HERO|=BFYing@

估计LZ的XP安装盘有病毒...........