求助，pkeusvq.exe和ngpycxm是什么病毒啊？

电脑最怕中毒初生襁褓狮帖子:56 注册: 2007-05-20 来自:	发表于： 2007-05-23 21:19 \| 短消息资料字号：小中大 11楼支持～～
电脑最怕中毒初生襁褓狮帖子:56 注册: 2007-05-20 来自:

吃腥的猫儿初生襁褓狮帖子:19 注册: 2006-09-27 来自:	发表于： 2007-05-24 13:52 \| 短消息资料字号：小中大 12楼我的也中这个病毒拉 ` 怎么没人来讲讲啊 `
吃腥的猫儿初生襁褓狮帖子:19 注册: 2006-09-27 来自:

吃腥的猫儿初生襁褓狮帖子:19 注册: 2006-09-27 来自:	发表于： 2007-05-24 13:53 \| 短消息资料字号：小中大 13楼我的也中这个病毒拉 ` 怎么没人来讲讲啊 `
吃腥的猫儿初生襁褓狮帖子:19 注册: 2006-09-27 来自:

guonianling 初生襁褓狮帖子:2 注册: 2007-05-25 来自:	发表于： 2007-05-25 09:48 \| 短消息资料字号：小中大 14楼 ========Content======== 这个病毒用现在的一些杀毒软件是无法删除的，我的机器也是这种毒，昨天通过一天的时间，最后处理掉了，重装了6次系统啊。具体解决办法是：重装完系统后，不要点击开其它的盘，新装的系统C盘是安全的。第一步：打开c盘，菜单下的工具——〉文件夹选项——〉查看——〉高级设置——〉勾掉隐藏受保护的操作系统文件（推荐），第一步的准备工作完成了。第二步打开开始——〉运行——〉浏览，选中你的每个硬盘符（D，Ｅ，Ｆ　，Ｇ　Ｈ　Ｊ　等等）打开硬盘分区后，选中你的分区下的病毒文件，直接删除，然后清空垃圾站，ＯＫ了。不过一个缺点是硬盘分区直接打不开（有的分区可以直接打开），用资源管理器打开分区，没问题。大家可以试一试。
guonianling 初生襁褓狮帖子:2 注册: 2007-05-25 来自:

loveperday 初生襁褓狮帖子:824 注册: 2007-05-11 来自:	发表于： 2007-05-25 09:53 \| 短消息资料字号：小中大 15楼楼主能把fmvluab.exe这个文件打包压缩给我一份么？密码123 谢谢~ 你先按照8楼方法解决，然后观察。千万不要双击磁盘，要右键
loveperday 初生襁褓狮帖子:824 注册: 2007-05-11 来自:

mihuo2006 初生襁褓狮帖子:1 注册: 2007-05-25 来自:	发表于： 2007-05-25 13:04 \| 短消息资料字号：小中大 16楼我昨天也中了，我在一键还原后删掉除盘里的fmvluab.exe,记得还原后不要双击打开硬盘，先打开任务管理器，关掉那两个的进程树，在查找中找fmvluab.exe这个文件，文件是隐藏的，所以要搜索隐藏文件，然后删掉，之后在安装瑞星，这个病毒破坏了瑞星以安装的文件，所以最后安装瑞星
mihuo2006 初生襁褓狮帖子:1 注册: 2007-05-25 来自:

昵称啊啊初生襁褓狮帖子:3 注册: 2007-05-25 来自:	发表于： 2007-05-25 15:03 \| 短消息资料字号：小中大 17楼 2007-5-23至2007年5月25日小病毒，小智慧 --KALEQI 23日晚，家里AVAST杀毒软件查到毒，IE缓存文件里和SYSTERM32文件夹屡次查到病毒，但无法清除，由于时间太晚，没有做太多处理。 24日到公司，发现公司电脑出现和家里一样的情况，并且出现其他问题：一、点击电脑硬盘盘符会在新窗口打开；二、进程中出现pkeusvq.exe和ngpycxm.exe，终止后出现；三、启动项出现两个随机文件名的程序；四、360安全卫士无法正常使用；五、硬盘无法直接打开，需从地址栏中打开；六、进入安全模式死机。网上搜索之后，没有发现相关病毒的报道，估计是个不出名的病毒，没有专杀工具，瑞星杀不到，毒霸也杀不到。首先用SREng的智能扫描，浅显了扫了一下，注册表和服务项看得眼睛都花了，虽然看到一些不正常的，但想到这样改起来，估计要死了才知道怎么清楚病毒，于是，另外找方法。由于白天上班，24日晚上9点开始收拾这两个不知名的玩意。忽然感觉懒得写了，又没人给稿费。写解决方法。首先重新安装360安全卫士，安装晚上后直接运行，并且不要关闭。在安全卫士里清除两未知启动项，在进程管理里，结束pkeusvq.exe、ngpycxm.exe。在江民的官网上下载vikingkiller专杀工具，对全盘清理。然后关闭专杀工具，关闭安全卫士。采用你已装的杀毒软件的开机扫描再全盘杀一次，结束。其实这两个病毒就是威金的变种，没什么了不起的，不知道瑞星和金山都搞不定。结束，搁笔，希望对大家有些帮助。另，有了解脱壳技术的兄弟，大家可以进一步探讨。
昵称啊啊初生襁褓狮帖子:3 注册: 2007-05-25 来自:

昵称啊啊初生襁褓狮帖子:3 注册: 2007-05-25 来自:	发表于： 2007-05-25 15:04 \| 短消息资料字号：小中大 18楼 2007-5-23至2007年5月25日小病毒，小智慧 --KALEQI 23日晚，家里AVAST杀毒软件查到毒，IE缓存文件里和SYSTERM32文件夹屡次查到病毒，但无法清除，由于时间太晚，没有做太多处理。 24日到公司，发现公司电脑出现和家里一样的情况，并且出现其他问题：一、点击电脑硬盘盘符会在新窗口打开；二、进程中出现pkeusvq.exe和ngpycxm.exe，终止后出现；三、启动项出现两个随机文件名的程序；四、360安全卫士无法正常使用；五、硬盘无法直接打开，需从地址栏中打开；六、进入安全模式死机。网上搜索之后，没有发现相关病毒的报道，估计是个不出名的病毒，没有专杀工具，瑞星杀不到，毒霸也杀不到。首先用SREng的智能扫描，浅显了扫了一下，注册表和服务项看得眼睛都花了，虽然看到一些不正常的，但想到这样改起来，估计要死了才知道怎么清楚病毒，于是，另外找方法。由于白天上班，24日晚上9点开始收拾这两个不知名的玩意。忽然感觉懒得写了，又没人给稿费。写解决方法。首先重新安装360安全卫士，安装晚上后直接运行，并且不要关闭。在安全卫士里清除两未知启动项，在进程管理里，结束pkeusvq.exe、ngpycxm.exe。在江民的官网上下载vikingkiller专杀工具，对全盘清理。然后关闭专杀工具，关闭安全卫士。采用你已装的杀毒软件的开机扫描再全盘杀一次，结束。其实这两个病毒就是威金的变种，没什么了不起的，不知道瑞星和金山都搞不定。结束，搁笔，希望对大家有些帮助。另，有了解脱壳技术的兄弟，大家可以进一步探讨。
昵称啊啊初生襁褓狮帖子:3 注册: 2007-05-25 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-05-25 16:27 | 短消息资料

字号：小中大 19楼

引用:

【昵称啊啊的贴子】2007-5-23至2007年5月25日
小病毒，小智慧
--KALEQI
23日晚，家里AVAST杀毒软件查到毒，IE缓存文件里和SYSTERM32文件夹屡次查到病毒，但无法清除，由于时间太晚，没有做太多处理。
24日到公司，发现公司电脑出现和家里一样的情况，并且出现其他问题：一、点击电脑硬盘盘符会在新窗口打开；二、进程中出现pkeusvq.exe和ngpycxm.exe，终止后出现；三、启动项出现两个随机文件名的程序；四、360安全卫士无法正常使用；五、硬盘无法直接打开，需从地址栏中打开；六、进入安全模式死机。
网上搜索之后，没有发现相关病毒的报道，估计是个不出名的病毒，没有专杀工具，瑞星杀不到，毒霸也杀不到。
首先用SREng的智能扫描，浅显了扫了一下，注册表和服务项看得眼睛都花了，虽然看到一些不正常的，但想到这样改起来，估计要死了才知道怎么清楚病毒，于是，另外找方法。
由于白天上班，24日晚上9点开始收拾这两个不知名的玩意。
忽然感觉懒得写了，又没人给稿费。
写解决方法。
首先重新安装360安全卫士，安装晚上后直接运行，并且不要关闭。
在安全卫士里清除两未知启动项，在进程管理里，结束pkeusvq.exe、ngpycxm.exe。
在江民的官网上下载vikingkiller专杀工具，对全盘清理。
然后关闭专杀工具，关闭安全卫士。
采用你已装的杀毒软件的开机扫描再全盘杀一次，结束。
其实这两个病毒就是威金的变种，没什么了不起的，不知道瑞星和金山都搞不定。
结束，搁笔，希望对大家有些帮助。
另，有了解脱壳技术的兄弟，大家可以进一步探讨。
………………

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<b9y9><; C:\DOCUME~1\sunmao\LOCALS~1\Temp\cftmon.exe> [N/A]
<f2qrx><; C:\DOCUME~1\sunmao\LOCALS~1\Temp\Servera.exe> [N/A]
<fgqv6r2vwt52><; C:\DOCUME~1\sunmao\LOCALS~1\Temp\c0nime.exe> [N/A]
<g26s12vgx><; C:\DOCUME~1\sunmao\LOCALS~1\Temp\winlog0n.exe> [N/A]
<h15rt><; C:\DOCUME~1\sunmao\LOCALS~1\Temp\iexpl0re.exe> [N/A]
<svs13d610gy><; C:\DOCUME~1\sunmao\LOCALS~1\Temp\iexp10re.exe> [N/A]
<tdri><; C:\DOCUME~1\sunmao\LOCALS~1\Temp\crasos.exe> [N/A]
<vurxks><; C:\DOCUME~1\sunmao\LOCALS~1\Temp\1explore.exe> [N/A]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><; ??粒?粒��粒?
�???�?粓?> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<omwmstj><C:\WINDOWS\system32\pkeusvq.exe> []
<fmvluab><C:\WINDOWS\system32\ngpycxm.exe> []
<upxdnd><; C:\DOCUME~1\sunmao\LOCALS~1\Temp\upxdnd.exe> []
<AVPSrv><; C:\WINDOWS\AVPSrv.exe> []
<cmdbcs><; C:\WINDOWS\cmdbcs.exe> []
<msccrt><; C:\WINDOWS\msccrt.exe> []
<mppds><; C:\WINDOWS\mppds.exe> []
<cmdbs><; C:\WINDOWS\cmdbs.exe> []
<mscrt><; C:\WINDOWS\mscrt.exe> [N/A]
<pxdnd><; C:\DOCUME~1\sunmao\LOCALS~1\Temp\win1.exe> [N/A]
<WSVBRS><; C:\WINDOWS\WSVBRS.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><xpepri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{131AB311-16F1-F13B-1E43-11A24B51AFD1}><C:\WINDOWS\system32\gdipri.dll> []
<{242BC422-2712-124C-2F54-22B35C62B1E2}><C:\WINDOWS\system32\exppri.dll> []
<{342BC423-3713-224D-3F55-32B35C62B1E3}><C:\WINDOWS\system32\xpepri.dll> []
<{42A612A4-4334-4424-4234-42261A31A236}><C:\WINDOWS\system32\pdkpri.dll> []
<{91B1E846-2BEF-4345-8848-7699C7C9935F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll> []
服务
[WinWMServiceNow / WinWMServiceNow][Stopped/Auto Start]
<C:\DOCUME~1\sunmao\LOCALS~1\Temp\RAVWM.EXE><N/A>
被病毒模块插入的进程：
[PID: 1600][C:\WINDOWS\system32\Ati2evxx.exe] [ATI Technologies Inc., 6.14.10.4123]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll] [N/A, ]
[C:\WINDOWS\system32\djsqco.dll] [N/A, ]
[C:\WINDOWS\system32\wyenzh.dll] [N/A, ]
[PID: 1664][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\gdipri.dll] [N/A, ]
[C:\WINDOWS\system32\exppri.dll] [N/A, ]
[C:\WINDOWS\system32\xpepri.dll] [N/A, ]
[C:\WINDOWS\system32\pdkpri.dll] [N/A, ]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll] [N/A, ]
[C:\WINDOWS\system32\moyu102.dll] [N/A, ]
[C:\DOCUME~1\sunmao\LOCALS~1\Temp\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\mh102.dll] [N/A, ]
[C:\WINDOWS\system32\nwizAsktao.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\wyenzh.dll] [N/A, ]
[C:\WINDOWS\system32\nwizqjsj.dll] [N/A, ]
[C:\WINDOWS\system32\djsqco.dll] [N/A, ]
[PID: 1864][C:\WINDOWS\system32\pkeusvq.exe] [N/A, ]
[C:\WINDOWS\system32\xpepri.dll] [N/A, ]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll] [N/A, ]
[C:\WINDOWS\system32\gdipri.dll] [N/A, ]
[C:\WINDOWS\system32\exppri.dll] [N/A, ]
[C:\WINDOWS\system32\pdkpri.dll] [N/A, ]
[C:\WINDOWS\system32\wyenzh.dll] [N/A, ]
[C:\WINDOWS\system32\djsqco.dll] [N/A, ]
[PID: 1872][C:\WINDOWS\system32\ngpycxm.exe] [N/A, ]
[C:\WINDOWS\system32\xpepri.dll] [N/A, ]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll] [N/A, ]
[C:\WINDOWS\system32\gdipri.dll] [N/A, ]
[C:\WINDOWS\system32\exppri.dll] [N/A, ]
[C:\WINDOWS\system32\pdkpri.dll] [N/A, ]
[C:\WINDOWS\system32\wyenzh.dll] [N/A, ]
[C:\WINDOWS\system32\djsqco.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\DOCUME~1\sunmao\LOCALS~1\Temp\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\xpepri.dll] [N/A, ]
[C:\WINDOWS\system32\wyenzh.dll] [N/A, ]
[C:\WINDOWS\system32\djsqco.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[PID: 3868][C:\WINDOWS\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\djsqco.dll] [N/A, ]
[C:\WINDOWS\system32\wyenzh.dll] [N/A, ]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll] [N/A, ]
[PID: 3900][C:\Program Files\Internet Explorer\IEXPLORE.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\djsqco.dll] [N/A, ]
[C:\WINDOWS\system32\wyenzh.dll] [N/A, ]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\DOCUME~1\sunmao\LOCALS~1\Temp\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\xpepri.dll] [N/A, ]
[PID: 4016][E:\TDdownload\sreng2\SREng123123.EXE] [Smallfrogs Studio, 2.4.12.806]
[C:\WINDOWS\system32\djsqco.dll] [N/A, ]
[C:\WINDOWS\system32\wyenzh.dll] [N/A, ]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\DOCUME~1\sunmao\LOCALS~1\Temp\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\xpepri.dll] [N/A, ]
==================================
Autorun.inf
[D:\]
[AutoRun]
open=fmvluab.exe
shell\open=打开(&O)
shell\open\Command=fmvluab.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=fmvluab.exe
[E:\]
[AutoRun]
open=fmvluab.exe
shell\open=打开(&O)
shell\open\Command=fmvluab.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=fmvluab.exe
[F:\]
[AutoRun]
open=fmvluab.exe
shell\open=打开(&O)
shell\open\Command=fmvluab.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=fmvluab.exe

这么热闹的一堆病毒，这么混乱的进程插入，就凭你那几招能搞掂？
请不要在这里自欺欺人了！！

建议楼主用IceSwod，结合日志的这部分信息，自己动手解决问题。
操作流程：
1、禁止进程创建。
2、结束病毒进程，清理被病毒模块插入的进程（看日志进程部分）
3、删除相应的病毒文件。（注意：各个分区根目录下的fmvluab.exe和autorun.inf必须删除。）
4、取消IceSword的“禁止进程创建。
5、运行SRENG。找到日志中病毒添加的这些启动项、服务项、驱动项，一一删除。

loveperday 初生襁褓狮帖子:824 注册: 2007-05-11 来自:	发表于： 2007-05-25 16:52 \| 短消息资料字号：小中大 20楼我想要个样本，谁能给我个。。。。郁闷。。
loveperday 初生襁褓狮帖子:824 注册: 2007-05-11 来自:

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求助，pkeusvq.exe和ngpycxm是什么病毒啊？

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛求助，pkeusvq.exe和ngpycxm是什么病毒啊？