123   3  /  3  页   跳转

关于 iywdqdf和dmecvcm

收藏
悠悠十夜
头像
初生襁褓狮
  • 帖子:20
  • 注册: 2007-05-30
  • 来自:
发表于: 2007-05-30 10:47 | 只看楼主 短消息 资料
字号: 21楼

=================================
正在运行的进程
[PID: 596][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 656][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 680][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 732][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 744][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 896][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 956][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1044][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1124][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1596][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\nvcpl.dll]  [NVIDIA Corporation, 6.14.10.9148]
    [C:\WINDOWS\system32\NVRSZHC.DLL]  [NVIDIA Corporation, 6.14.10.9148]
    [C:\WINDOWS\system32\nvapi.dll]  [N/A, ]
    [C:\WINDOWS\system32\nvshell.dll]  [, ]
    [e:\Thunder\Components\ResWorker\DSIeHelper.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 2]
    [e:\Thunder\Components\ResWorker\DataProcessor.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 1]
    [C:\WINDOWS\system32\dfshim.dll]  [Microsoft Corporation, 2.0.50727.42 (RTM.050727-4200)]
    [C:\WINDOWS\system32\mscoree.dll]  [Microsoft Corporation, 2.0.50727.42 (RTM.050727-4200)]
    [E:\Thunder\ComDlls\xunleiBHO_Now.dll]  [Thunder Networking Technologies,LTD, 5, 0, 2, 17]
    [C:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
    [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[PID: 1108][C:\WINDOWS\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[PID: 1180][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[PID: 864][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [E:\Thunder\ComDlls\TDAtOnce_Now.dll]  [Thunder Networking Technologies,LTD, 1.0.0.4]
    [e:\Thunder\Components\ResWorker\DSIeHelper.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 2]
    [e:\Thunder\Components\ResWorker\DataProcessor.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 1]
    [E:\Thunder\ComDlls\xunleiBHO_Now.dll]  [Thunder Networking Technologies,LTD, 5, 0, 2, 17]
    [C:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
    [C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx]  [Adobe Systems, Inc., 9,0,28,0]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[PID: 2836][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [E:\Thunder\ComDlls\TDAtOnce_Now.dll]  [Thunder Networking Technologies,LTD, 1.0.0.4]
    [e:\Thunder\Components\ResWorker\DSIeHelper.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 2]
    [e:\Thunder\Components\ResWorker\DataProcessor.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 1]
    [E:\Thunder\ComDlls\xunleiBHO_Now.dll]  [Thunder Networking Technologies,LTD, 5, 0, 2, 17]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
    [C:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
[PID: 3376][F:\12331.EXE]  [Smallfrogs Studio, 2.4.12.806]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]

==================================
文件关联
.TXT  Error. [C:\WINDOWS\notepad.exe %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. ["hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]
gototop
 
悠悠十夜
头像
初生襁褓狮
  • 帖子:20
  • 注册: 2007-05-30
  • 来自:
发表于: 2007-05-30 10:48 | 只看楼主 短消息 资料
字号: 22楼

=================================
正在运行的进程
[PID: 596][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 656][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 680][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 732][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 744][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 896][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 956][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1044][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1124][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1596][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\nvcpl.dll]  [NVIDIA Corporation, 6.14.10.9148]
    [C:\WINDOWS\system32\NVRSZHC.DLL]  [NVIDIA Corporation, 6.14.10.9148]
    [C:\WINDOWS\system32\nvapi.dll]  [N/A, ]
    [C:\WINDOWS\system32\nvshell.dll]  [, ]
    [e:\Thunder\Components\ResWorker\DSIeHelper.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 2]
    [e:\Thunder\Components\ResWorker\DataProcessor.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 1]
    [C:\WINDOWS\system32\dfshim.dll]  [Microsoft Corporation, 2.0.50727.42 (RTM.050727-4200)]
    [C:\WINDOWS\system32\mscoree.dll]  [Microsoft Corporation, 2.0.50727.42 (RTM.050727-4200)]
    [E:\Thunder\ComDlls\xunleiBHO_Now.dll]  [Thunder Networking Technologies,LTD, 5, 0, 2, 17]
    [C:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
    [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[PID: 1108][C:\WINDOWS\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[PID: 1180][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[PID: 864][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [E:\Thunder\ComDlls\TDAtOnce_Now.dll]  [Thunder Networking Technologies,LTD, 1.0.0.4]
    [e:\Thunder\Components\ResWorker\DSIeHelper.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 2]
    [e:\Thunder\Components\ResWorker\DataProcessor.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 1]
    [E:\Thunder\ComDlls\xunleiBHO_Now.dll]  [Thunder Networking Technologies,LTD, 5, 0, 2, 17]
    [C:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
    [C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx]  [Adobe Systems, Inc., 9,0,28,0]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[PID: 2836][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [E:\Thunder\ComDlls\TDAtOnce_Now.dll]  [Thunder Networking Technologies,LTD, 1.0.0.4]
    [e:\Thunder\Components\ResWorker\DSIeHelper.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 2]
    [e:\Thunder\Components\ResWorker\DataProcessor.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 1]
    [E:\Thunder\ComDlls\xunleiBHO_Now.dll]  [Thunder Networking Technologies,LTD, 5, 0, 2, 17]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
    [C:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
[PID: 3376][F:\12331.EXE]  [Smallfrogs Studio, 2.4.12.806]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]

==================================
文件关联
.TXT  Error. [C:\WINDOWS\notepad.exe %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. ["hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]
gototop
 
悠悠十夜
头像
初生襁褓狮
  • 帖子:20
  • 注册: 2007-05-30
  • 来自:
发表于: 2007-05-30 10:50 | 只看楼主 短消息 资料
字号: 23楼

就是瑞星无法使用 出现:“瑞星通用库(RSCENTER) 错误”

安装后不能使用。。。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-30 11:12 | 短消息 资料
字号: 24楼

彻底卸载瑞星,去下载最新版本的安装包安装,你原机里的瑞星都不要了。

再试试。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-30 11:32 | 短消息 资料
字号: 25楼

引用:
【悠悠十夜的贴子】就是瑞星无法使用 出现:“瑞星通用库(RSCENTER) 错误”

安装后不能使用。。。
………………

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Kvsc3><; C:\WINDOWS\Kvsc3.exe> []

你的病毒没杀净
gototop
 
悠悠十夜
头像
初生襁褓狮
  • 帖子:20
  • 注册: 2007-05-30
  • 来自:
发表于: 2007-05-30 11:48 | 只看楼主 短消息 资料
字号: 26楼

杀完了。。。。

进不去安全模式,进去蓝屏。。。。
gototop
 
123232
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2007-06-01
  • 来自:
发表于: 2007-06-01 10:35 | 短消息 资料
字号: 27楼

我也中了此病毒,不过我用以下办法杀掉了,楼主可以看看。

先准备以下工具:
1、System Repair Engineer,简称 SREng,一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。
下载地址:http://download.kztechs.com/files/sreng2.zip
2、超级兔子清理王,最好用绿色版,因为该病毒可能会导致注册版不能使用。
绿色版下载地址:http://wznetcom.onlinedown.net/down/winspeed798.zip

下载完后拔掉网线,或者关闭猫。

将下面内容复制到记事本,另存为,选择保存类型为所有文件,输入文件名"杀iywdqdf和dmecvcm病毒.bat",记得要加.bat。

taskkill /f /IM kocmbcd.exe
taskkill /f /IM iywdqdf.exe
taskkill /f /IM dmecvcm.exe

del /F/A:s a h r c:\autorun.inf
del /F/A:s a h r c:\kocmbcd.exe
del /F/A:s a h r d:\autorun.inf
del /F/A:s a h r d:\kocmbcd.exe
del /F/A:s a h r e:\autorun.inf
del /F/A:s a h r e:\kocmbcd.exe
del /F/A:s a h r f:\autorun.inf
del /F/A:s a h r f:\kocmbcd.exe
del /F/A:s a h r g:\autorun.inf
del /F/A:s a h r g:\kocmbcd.exe
del /F/A:s a h r h:\autorun.inf
del /F/A:s a h r h:\kocmbcd.exe
del /F/A:s a h r i:\autorun.inf
del /F/A:s a h r i:\kocmbcd.exe
del /F/A:s a h r j:\autorun.inf
del /F/A:s a h r j:\kocmbcd.exe
del /F/A:s a h r k:\autorun.inf
del /F/A:s a h r k:\kocmbcd.exe
del /F/A:s a h r l:\autorun.inf
del /F/A:s a h r l:\kocmbcd.exe
del /F/A:s a h r m:\autorun.inf
del /F/A:s a h r m:\kocmbcd.exe
del /F/A:s a h r n:\autorun.inf
del /F/A:s a h r n:\kocmbcd.exe
del /F/A:s a h r o:\autorun.inf
del /F/A:s a h r o:\kocmbcd.exe

del /F/A:s a h r c:\windows\system32\kocmbcd.exe
del /F/A:s a h r c:\windows\system32\iywdqdf.exe
del /F/A:s a h r c:\windows\system32\dmecvcm.exe
del /F/A:s a h r c:\windows\system32\systemdate.ini
del /F/A:s a h r d:\systemdate.ini
del /F/A:s a h r d:\systemfile.com

regedit 杀iywdqdf和dmecvcm病毒.reg
pause

保存好后双击运行,这时你打开任务管理器,你会发现iywdqdf和dmecvcm进程不见了,打开winrar,转到各个盘的根目录,你会发现kocmbcd.exe和autorun.inf文件被删除了,再转到c:\windows\system32\目录下,你会发现iywdqdf.exe和dmecvcm.exe文件被删除了,这时再双击一个盘符打开会提示选择程序,这没关系,这是正常的,表明病毒文件被删除了,这时你再运行杀毒软件,系统会提示找不到文件,这也是正常的,但是还不能运行杀毒软件。如果没有出现上述情况,请手动删除,或再与我联系,我qq391611007。

到这里,如果上述现象都发生了,那么表明病毒就快被我们杀掉了,但是这时千万不要重启电脑,或是进入安全模式杀毒,不然上述工作白费了,重启后一切依旧。

下面运行超级兔子清理王,点击清理系统,清理注册表,“扫描错误的类”复选框上打钩,单击下一步,等待稍描完毕,单击清除。
在点击清理文件,点击全面清理,下一步,扫描完毕,清除。
完成后退出超级兔子清理王。

再运行sreng2,单击启动项目,点注册表,保留ctfmon.exe,msconfig,avp(杀毒软件自启动项,不同的软件各不相同),其他的全部删除,特别是以不同颜色标记的一定要删除,放心删吧,不会给系统带来任何影响,反而会提高启动速度。再单击服务,win32服务应用程序,点击状态,进行排序,找到Stopped/Auto Start,看其映像文件路径,选择性删除,这就需要一定的系统服务知识,这里不好讲清楚,不过我删时也没怎么发现可疑的服务,所以这里可以先放过,但具体情况具体对待。再单击系统修复,点击高级修复,自动修复。再点击浏览器加载项,把那些没有名字没有映像文件路径的全部删除,还有一些比较典型的恶意软件的加载项删除,自己把握。

到这里病毒基本上被杀掉了,保险一点可以重做超级兔子清理王那一步,也可以把那一步放到后面。然后重启,你会发现不会再有系统时间无效的提示了,杀毒软件可以用了,由于这个病毒类是P2P软件性质,主要是下载各种木马病毒,并自动加载到启动项,所以杀完毒后的第一件事是插上网线,升级杀毒软件,运行360安全卫士,清除恶意软件,其中会有不下于8个的病毒木马,然后修复系统漏洞,在然后用杀毒软件进行全盘杀毒,你会发现有不少于50个病毒,呵呵,现在你可以放松一下了,你的电脑恢复正常了。


问题补充:

系统时间可以改回去,这没大关系,主要是为了让杀毒软件失效。

该病毒主要通过优盘传播,自动复制文件到各盘的根目录,并设置属性为系统,隐藏。不过用winrar就能看见,方法很简单,程序-winrar,或者直接双击一个压缩文件,一直点击向上的按钮就行了,到了根目下,随便就可以进入每个盘了,文件一目了然,如果双击.bat文件不能删除,你可以手动删除,可以参考.bat。

该病毒会开启系统的默认共享,共享每个盘,可以在右健我的电脑-管理-共享文件夹-共享里查看,这是为了入侵你的电脑作准备,下面是关闭默认共享的几个办法,都能用。
关闭系统默认共享
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autosharewks"=dword:00000000

net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share g$ /delete
net share h$ /delete
pause
另存为.bat件,方法同上述。

另外为了防止远程ipc攻击,可以先关闭ipc$空连接进行枚举,最终的最有效的方法是禁止server服务,但同时你就不能共享资源了。
禁止ipc$空连接进行枚举
运行regedit,找到如下组键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:00000001

无法进入安全模式是因为该病毒组织了,就是为了防止我们在安全模式下杀它,这也是他可恶的地方。还有根本没必要重装系统,此病毒只是为了窃取我们的帐号等信息,不会破坏文件,如果文件也被破坏了,那是因为它下载了许多病毒,还有如果你的优盘也中病毒了,不要紧,只要不双击打开、右健打开或在资源管理器里打开,就不会中病毒,那怎样打开呢,在地址栏下拉菜单里进入每个盘就行了,中了毒的盘把.bat文件复制到根目录下双击运行就可杀毒了。

有疑问,请联系,我qq 391611007
gototop
 
<<上一主题|下一主题>>
123   3  /  3  页   跳转
页面顶部
Powered by Discuz!NT