12   1  /  2  页   跳转

fbbb1.exe 是什么病毒啊?

收藏
北京蓝波
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2007-11-06
  • 来自:
发表于: 2007-11-06 10:11 | 只看楼主 短消息 资料
字号: 1楼

fbbb1.exe 是什么病毒啊?

系统进程里发现 可疑程序fbbb1.exe ,该程序启动后,总会跟着rundll32.exe 调用,用瑞星正版最新病毒库查不出来。把硬盘挂到别人的电脑上删除fbbb1.exe也不行,用360查看系统进程,该程序居然调用瑞星的库文件,真厉害。如下图,各位大虾有知道的么

附件附件:

下载次数:206
文件类型:image/pjpeg
文件大小:
上传时间:2007-11-6 10:11:58
描述:
预览信息:EXIF信息



最后编辑2007-11-06 12:39:33
分享到:
gototop
 
北京蓝波
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2007-11-06
  • 来自:
发表于: 2007-11-06 10:19 | 只看楼主 短消息 资料
字号: 2楼

sreng2扫描报告

附件附件:

下载次数:103
文件类型:application/octet-stream
文件大小:
上传时间:2007-11-6 10:19:16
描述:
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-11-06 10:38 | 短消息 资料
字号: 3楼

用SRENG删除服务
[error monitor / EmonSrv][Stopped/Auto Start]
  <2 - 系统找不到指定的文件。
><N/A>
[ms_2fax / ms_2fax][Running/Manual Start]
  <2 - 系统找不到指定的文件。
><N/A>
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd][Stopped/Manual Start]
  <"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><N/A
删除驱动
[Cdsys / Cdsys][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\cdcd.sys><N/A>
[npkcrypt / npkcrypt][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
[usb8028 / usb8028][Stopped/Manual Start]
  <2 - 系统找不到指定的文件。
><N/A>
[usb8028x / usb8028x][Stopped/]
  <2 - 系统找不到指定的文件。
><N/A>
[824375 / 824375][Running/Manual Start]
  <2 - 系统找不到指定的文件。
><N/A>

删除文件(用冰刃删除http://www.onlinedown.net/soft/53325.htm)
C:\Program Files\WinPcap\rpcapd.ini
C:\Program Files\WinPcap\rpcapd.exe
C:\WINDOWS\system32\cdcd.sys
\C:\WINDOWS\system32\npkcrypt.sys

打开我的电脑-工具-文件夹选项-查看-显示隐藏文件-隐藏受保护的系统文件(勾去掉)-确定
重起进入安全模式(开机不停的按F8,选择安全模式启动) 清空临时文件夹:
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files
C:\Documents and Settings\用户名\Local Settings\Temp

用360清理IE安全卫士360下载:http://www.onlinedown.net/soft/50671.htm


PS:仔细看!SRENG的使用方法在:http://forum.ikaka.com/topic.asp?board=28&artid=8270267&page=1
gototop
 
北京蓝波
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2007-11-06
  • 来自:
发表于: 2007-11-06 11:11 | 只看楼主 短消息 资料
字号: 4楼

用SRENG发现删除rygz后,刷新,仍然存在如下图。怀疑该rundll32调用导致系统非常慢,用任务管理器结束任务后,恢复正常,一会就又出来了。

附件附件:

下载次数:198
文件类型:image/pjpeg
文件大小:
上传时间:2007-11-6 11:11:50
描述:
预览信息:EXIF信息
gototop
 
北京蓝波
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2007-11-06
  • 来自:
发表于: 2007-11-06 11:16 | 只看楼主 短消息 资料
字号: 5楼

删除该服务时提示“操作被取消” 如下图

附件附件:

下载次数:216
文件类型:image/pjpeg
文件大小:
上传时间:2007-11-6 11:16:01
描述:
预览信息:EXIF信息
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2007-11-06 11:17 | 短消息 资料
字号: 6楼

安全模式操作..
gototop
 
北京蓝波
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2007-11-06
  • 来自:
发表于: 2007-11-06 11:20 | 只看楼主 短消息 资料
字号: 7楼

删除驱动
[Cdsys / Cdsys][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\cdcd.sys><N/A>
[npkcrypt / npkcrypt][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
[usb8028 / usb8028][Stopped/Manual Start]

这些删除都显示 “操作被取消” 无法删除
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-11-06 11:40 | 短消息 资料
字号: 8楼

PS:仔细看!SRENG的使用方法在:http://forum.ikaka.com/topic.asp?board=28&artid=8270267&page=1

是我搞错了,呵呵.曾经记得一篇教程上重点说了下删除服务和驱动的步骤,最后点否不能点是.
UFO不幸外人的教程没着重写这个

但如果仔细看对话框的内容就不会选"是"了,对不
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-11-06 11:42 | 短消息 资料
字号: 9楼

请仔细看!

删除服务,和驱动,最后点"否"不是点"是"

仔细看看就知道怎么回事了
gototop
 
北京蓝波
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2007-11-06
  • 来自:
发表于: 2007-11-06 12:38 | 只看楼主 短消息 资料
字号: 10楼

谢谢各位大哥,几种方法都试了,还是不行。放弃了,一键ghost的备份也找不到了,只好重装了。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT