求助~~~~~~~~~~~

我的文档

求助一下
我的传奇玩不了了 一点就说什么
Mir.exe 遇到额外难题需要关闭。我们对此引起的不便表示抱歉。
这到底是怎么回事
所以我重新花了两个小时从新下载了传奇 可是还是同样的结果
记得再传奇出问题前 我在QQ里接受过两个照片 然后第2天 在流行杀毒  里杀了两个
TE某某某QQ     的病毒
是不是她的这个病毒 害了我的传奇呢 请教一下~~~
我想是在不行 就从做系统~~~`
还有 我刚下载了 泡泡堂玩的时候能玩 后来 一进去那里就说
泡泡的程序和  services。exe程序无法同时 进行 您是否要关闭此程序
被退出来
这个怎么弄啊~~~~~~~~请教下~~~摆脱了~~~

冷牧

唉, 同情ing, 应该是中木马了! (极有可能是盗密码的) 你的问题有人反映过了, 可以看这帖:
http://bbs.shiandci.net/cgi-bin/lb5000/topic.cgi?forum=8&topic=1390&show=25
(没找到专帖, 只找见99的精华帖, ) 请大家在问问题之前先把帖子都浏览一遍, 看看有没有与自己的情况有相似的, 对于有用的资料最好能保存在自己电脑了, 以后查找, 学习的时候也方便些.
我去吃饭了. 其它帖自己慢慢看吧.
若果不行再回帖.

我的文档

555555555555555
看不懂哦那里的Win.ini 只类的那是说的是WINDOS98 我的是XP
和那里的不一样没看见那样的东西不知道该怎么弄
5555555555 帮帮忙哦~~

冷牧

开始-->运行-->打入 msconfig 时找到win.ini的"run=*******"的内容吗?

我的文档

牧牧 你去哪了啊
给你发个消息你就不见了
来99我啊~~~~~~~~~ 我可是就盯在这里啥都没干啊
就等人来9我了~~~~

狂傲逆天

建议用QQ的腾讯瑞星在线杀毒功能,现在是免费的.
在QQ好友名单里的坐侧,有6的面板按钮,按第6个,点饥里面的"在线杀渡"就OK了

我的文档

你以为我不知道有这个啊这个能好使吗
这种是是专门为那些QQ里传播网站那些病毒的
和这个没多大关系吧~~~

winzww

查毒，杀毒，都没有了，还原系统吧。

冷牧

[这个贴子最后由冷牧在 2004/04/18 10:55pm 第 1 次编辑]

要查找木马, 首先要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。可以打开我的电脑-->查看-->文件夹选项--->显示隐藏文件.
多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了)，启动项一般都是加在注册表中的，具体位置在：HKEY_LOCAL _MACHINE\Software \Microsoft\Windows\CurrentVersion下所有以"run"开头的键值;
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion下所有以"run"开头的键值;
HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以"Run"开头的键值。
这些都是最常见的病毒所潜伏区.
其它的, 如在Win.ini文件中加入启动项:"load="和"run="中原为空, 染毒后可能会变成run=c:\windows\file.exe或load=c:\windows\file.exe
在System.ini中(和Win.ini相似的.) 的[386Enh]字段，要注意检查在此段内的"driver=路径\程序名"，这里也有可能被木马所利用。在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，也是起到加载驱动程序的作用，但也是增添木马程序的好场所.
控制端利用*.ini这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了
修改文件关联是木马常用手段(主要是国产木马，老外的木马大都没有这个功能)，比方说，正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的冰河就是这样干的。一旦你双击一个txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了。请大家注意，不仅仅是txt文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值是否正常。
在启动组中启动
在启动组中, 启动组对应的文件夹为:C: \Windows\Start Menu\Programs\StartUp，在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"

你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年，而不应该是最近的时间 (安装最新的Win2000、WinXP的系统除外)，文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那八成就有问题了.
在开始-->运行命令行下用"netstat -an"命令可以看到本机所有打开的端口。如果发现除了137、138、139三个端口, 或者是IE一般会打开连续的端口:1025，1026，1027以外的端口, 并且在Foreign Address中有奇怪的IP地址(0.0.0.0:*表示本机, 不是奇怪的IP地址), state中为LISTEN, 就有可能是木马程序在监听. (端口号大于1024的可能性很大)-----这种方法最好是在刚启动电脑, 没有登录任何网页的情况下使用, 比较有效喔. 安装了防火墙软件的用户，可以封闭 TCP 端口中的135 端口的出入连接, 防止RPC蠕虫病毒的进攻. 无安装防火墙的个别用户, 可以到
http://web.sdcatv.net/business/default.aspx?xfile=news&xid=ippolicy135
去看如何设置.  
对于木马改变了TXT、EXE或ZIP等文件的关联，那应把注册表改过来，如果不会改，那就把注册表改回到以前的，就可以恢复文件关联，可通过在DOS下执行"scanreg/restore"命令来恢复注册表，不过这条命令只能恢复前5天的注册表(这是系统默认的)。此举可轻松恢复被木马改变的注册表键值，简单易用。

我的文档

HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion下所有以"run"开头的键
这里有一个msnmsgr    数据是 C:\Program Files\MSN Messenger\msnmsgr.exe
HKEY_LOCAL _MACHINE\Software \Microsoft\Windows\CurrentVersion下所有以"run"开头的键
cesmain 类型就不说了都是一样的REG_SZ  数据是 rundll32.exe C:\PROGRA~1\3721\Ces\cmail.dll,r...

Cmaudio    RunDll32      cmicnfg.cpl,CMICtrlWnd
CnsMin     Rundll32.exe  C:\WINDOWS\DOWNLO~1\CnsMin.dll,R...
MsSystem                 C:\mssys.exe
诸多好多呢 还有10几个吧
值;HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以"Run"开头的键值
这里有 ctfmon.exe    C:\WINDOWS\System32\CTFMON.EXE

我的文档

还原系统怎么还原啊
我原来在那个什么查看系统信息那里好象看到过
那样还原的话就象从做系统一样吗  winzww  和  牧牧同志~~~~~

我的文档

你说的那 WIN。INI那里什么的我都看不见:"load="和"run="
这些都看不见我点了WIN。INI以后那里看到的是
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
[MCI Extensions.BAK]  这些 我的是XP 系统不是98 你们说的那个我都没看见

冷牧

WIN.INI中没有就算了.
恢复系统就是开始-->运行-->打入sfc, 启动"系统文件检查器", 如查出错误，会提示具体损坏文件的名称和路径，插入系统光盘，选"
还原文件"，被损坏或丢失的文件就会还原，系统即可恢复.

我的文档

牧牧 我昨天删了几个但 传奇还是开不了
今天也是 今天是19号星期一   
还有你说的  netstat -an 这个我运行了后 就出来象DOS 那种窗口
然后很快1秒中的事 那窗口就消失了 我都看不见里面写的是什么
还有 早上我又在注册表HKEY_LOCAL _MACHINE\ 的RUN里 看见一个RUN的病毒
cmaudio 病毒 然后我又到WINDOWS 查找ctfmon.exe 这个病毒 结果出来两个
ctfmon  是 修改是2001-9-5 5：00  还有一个是
CTFMON。EXE-OE 修改时间是 今天2004-4-19  0：00

我的文档

CTFMON。EXE-OE17969.pf 是这个哦

冷牧

[这个贴子最后由冷牧在 2004/04/19 12:04pm 第 2 次编辑]

忘了说明在开始--->运行-->打入cmd, 然后在出现的窗口中打入netstat -an
汗~~~~~~~
用瑞星, 瑞星可以杀Trojan.Win32.DelWin.g木
马病毒, 它是通过感染ctfmon.exe病毒来删除系统文件system.ini，并释放一张色情图片.
手工删除病毒请重启按F8 进入safe mode安全模式清除. 你可以把含恶性代码文件的3721给删除了, 单击 开始 -> 运行 regedit.exe 打开注册表，进入：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除键：CnsMin
其键值为：Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32
（如果是win98，这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\
删除整个目录：!CNS
这个目录在 Internet 选项 -> 高级 中加入了3721网络实名的选项。
HKEY_LOCAL_MACHINE\SOFTWARE\3721\ 以及 HKEY_CURRENT_USER\Software\3721\
删除整个目录：3721
注：如果您安装了3721的其它软件，如 极品飞猫 等，则应删除
整个目录：HKEY_LOCAL_MACHINE\SOFTWARE\3721\CnsMin
　　以及　HKEY_CURRENT_USER\Software\3721\CnsMin
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
删除键：CNSEnable 其键值为：a2c39d5f
删除键：CNSHint 其键值为：a2c39d5f
删除键：CNSList 其键值为：a2c39d5f

在删除完注册表中的项之后，还需要删除存储在硬盘中的3721网络实名文件。
删除如下文件：
C:\WINNT\DOWNLO~1 目录下
（这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\ 下同）
2001-08-09 15:34 <DIR> 3721
2001-08-02 17:03 40,960 cnsio.dll
2001-08-08 14:14 102,400 CnsMin.dll
2001-08-24 23:14 42 CnsMin.ini
2001-08-09 10:18 13,848 CnsMinEx.cab
2001-07-06 17:57 32,768 CnsMinEx.dll
2001-08-25 02:52 115 CnsMinEx.ini
2001-08-25 02:51 17,945 CnsMinIO.cab
2001-08-02 17:02 32,768 CnsMinIO.dll
2001-08-24 23:15 40,793 CnsMinUp.cab
C:\WINNT\DOWNLO~1\3721 目录下
2001-08-02 17:03 40,960 cnsio.dll
2001-08-24 15:53 102,400 CnsMin.dll
2001-07-06 17:59 213 CnsMin.inf
2001-08-24 15:48 28,672 CnsMinIO.dll
以上文件全部删除，这样3721网络实名"病毒"就从您的计算机中全部清除了。
最后，重新启动计算机，进入正常模式。
其它的问题也一样

我的文档

牧牧 我现在杀完毒 用江民 2003 杀了毒后
现在桌面上的任何一项 比如说我的电脑啊 游览器啊之类的
那里就出来
WINDOWS正配置DuDu Accelerator For Internet  Explorer,请稍等。
然后我点了两下取消 生怕它是 病毒驱动程序
然后那上面就再次出现个对话筐
无法访问您要使用的功能所在的网络位置
您可以单击 确定 按钮儿，再试一次：也可以在下面的矿中键入其他包含安装程序包
DuDu accelerarot For Internet Explorer.msi 的路径。
资源位置（U）：
C:\DOCUME~1\HIT\LOCALS~1\Temp\_is16\1           游览（B）
就这样上买内空的地方是路径的位置 那里自动就有C:\DOCUME~1\HIT\LOCALS~1\Temp\_is16\1 这个

圣手居士

DuDu Accelerator For Internet Explorer
是基于 HTTP 协议开发的对等网络技术的下载软件。
不是病毒，你可以从：
开始->设置->控制面板->添加删除程序->DuDu Accelerator For Internet Explorer->选择删除
在卸载过程中，系统可能会提示要求关闭Dddclient或关闭某个IE浏览器对话框，可以点忽略通过。这样即可成功卸载DuDu加速器。

我的文档

谢谢哈~~~~~~~~~居士~~~`那个来修的人还没你一句话能耐哦
~~~~~~~`HOHOHOHO~~~~~~~~~
那你说我现在吧杀了那么多毒几十个啊
系统是不是被也修改了也有破坏的
你说我怎么修复呢
还有我的声卡也完蛋了~~~~~~~~~
得装一个~~~~~怎么弄呢~~~~~~~~~~`

圣手居士

声卡完蛋的意思是什么？如果是坏了就扔了买新的：）
不然可以完全卸载重新安装一下驱动程序
系统修复我不知道你以前的是什么样子的，有没有系统还原呢？
其实最简单的方法就是把C盘里需要的东西保存到其他盘里
重新安装一下系统，然后用GHOST做一下备份
因为文件和注册表项目被改过了，要修复太累了，还不如重新装一下比较实在