Windows,bios,msn錯誤碼詳解+BIOS聲音判斷+不安全風險進程

chrismk

U

update.exe
一些軟體或遊戲的自動更新程式。也要注意可能是病毒或木馬。
updater.exe
大多數軟體或遊戲的自動更新程式。也可能是AGOBOT-OT蠕蟲病毒的進程。
updmgr.exe   
eUniverse.com的廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗
upxdnd.exe
征途木馬 upxdnd.exe upxdnd.dll crasos.exe iexpl0re.exe 查殺
進入安全模式
第一步：用費爾工具將C:\WINDOWS\system32\sysload3.exe 檔清除並抑制其生成。將C:\WINDOWS\system32目錄下的1.exe 2.exe 3.exe 4.exe 5.exe 6.exe 將其直接刪除。
第二步：清除暫存檔案夾所有檔，不能手動刪除的用費爾工具將其刪除
第三步：運行-----CMD----msconfig命令（此命令只能在winXP、2003使用，如果想在win2K下使用就需要複製msconfig檔到系統目錄下） 將啟動項upxdnd.exe 及crasos.exe 前面的勾去掉。
第四步：運行----regedit 打開註冊表 查找sysload3.exe 及upxdnd.exe 、crasos.exe，將其涉及到的項、值、資料刪除。
第五步：找到hosts檔保留 127.0.0.1      localhost    將其他的127.0.0.1 後面跟的所有網址全部刪除。
好了，我的處理方式就是這樣的，五步就搞定了。

[ 本帖最後由 chrismk 於 2007-6-27 09:47 PM 編輯 ]

chrismk

V

VVSN.exe
WhenU的廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。

chrismk

W

wast.exe   
Wast的廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
web.exe   
W32.Gokar.A@mm蠕蟲病毒。該蠕蟲通過Email電子郵件傳播，當您打開其中的附件時，即會感染。該蠕蟲會在受害者機器上建立SMTP服務，進行進一步傳播。該蠕蟲允許攻擊者訪問您的電腦，竊取密碼和個人資料。
webdav.exe
webdav.exe是一個木馬程式。這個進程的安全等級是建議立即進行刪除
webrebates.exe
一個廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
webrebates0.exe
一個廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
win-bugsfix.exe
LOVELETTER(我愛您)病毒。
win_upd2.exe
Trojan.BAGLE.AC木馬。該木馬允許攻擊者訪問您的電腦，竊取密碼和個人資料。
win32.exe
RATEGA病毒。該木馬允許攻擊者訪問您的電腦。
win32us.exe
一個XX撥號器程式。它會嘗試斷開您當前的網路連接，撥打一個收費高昂的接入號碼。
winactive.exe
該進程會篡改您的默認主頁，設置主頁為一個廣告站點。
winad.exe
一個廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。   
winadalt.exe
一個廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
winadctl.exe   
一個廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
WinAdTools.exe
一個廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
winamp.exe
%System%/winamp.exe
Worm@W32.Linkbot
Linkbot 會透過微軟的漏洞來散播網路駭蟲，建議用戶定期更新系統以修補漏洞
Linkbot是一隻網路駭蟲，透過 Microsoft Windows的漏洞弱點進行繁殖，並且透過IRC頻道在系統上產生一個後門程式。
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp
WINdirect.exe
Trojan.BAGLE.AC木馬。該木馬允許攻擊者訪問您的電腦，竊取密碼和個人資料。
windows.exe
W32.HLLW.Nulut蠕蟲。該蠕蟲通過檔共用和Email郵件進行傳播。
wingo.exe
W32/Bagle.bd@MM蠕蟲。該病毒通過Email郵件進行傳播，當您打開附件時，即會被感染。該蠕蟲會在受害者的機器上建立SMTP訪問，用以進一步傳播。該病毒允許攻擊者訪問您的電腦，竊取密碼和個人資料。   
wininetd.exe
是WINET病毒的一部分。這個進程的安全等級是建議立即進行刪除。
wininit.exe   
WOLLF.16病毒。該木馬允許攻擊者不經過您同意，遠端控制您的電腦。
winlock.exe
一個下載器，會下載WinCommX木馬。該進程通常捆綁下載其他病毒到您的電腦上。
winlogin.exe
RANDEX.E病毒。該IRC木馬，允許攻擊者通過IRC控制您的電腦。
winmain.exe   
HTASploit.winmain木馬。
winnet.exe   
一個廣告軟體，會監視您的站點搜索的特殊關鍵字，還會佔用大量的系統資源。
winppr32.exe
W32.Sobig.F病毒。該蠕蟲通過E-mail郵件和網路共用進行傳播。
winrarshell32.exe
一個密碼盜竊程式。該木馬允許攻擊者訪問您的電腦，竊取密碼和個人資料。
WinRatchet.exe
一個廣告軟體，常通過捆綁安裝。
WinSched.exe
WindUpdates的廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
winservn.exe
ClickSpring公司的間諜軟體。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
winshost.exe   
“貝革熱”Worm_Bagle.Be蠕蟲病毒。病毒運行後，在%System%文件夾下生成名為wiwshost.exe和其自身拷貝winshost.exe。其中檔wiwshost.exe會自身釋放檔winshost.exe到系統目錄下，並將winshost.exe插入到explorer.exe進程中。該病毒還會通過結束進程和修改註冊表的方式使得某些反病毒軟體無法運行。該病毒具有後門功能，打開並監聽tcp埠80，允許惡意用戶用特定密碼登陸並控制受感染的系統。該病毒還會通過編輯系統中的HOSTS檔來阻止電腦用戶訪問一些反病毒網站，還會使受感染的機器從指定的資源伺服器上主動下載並執行病毒檔。病毒通過電子郵件進行傳播，病毒郵件附件是a.zip壓縮檔，電腦用戶點擊就會感染電腦系統。
winssk32.exe
system.W32.Sobig.E病毒。該蠕蟲通過Email郵件和網路共用進行傳播，傳播自身到本機的位址薄中的聯繫人。
winstart.exe   
iGetNet廣告軟體。該程式會在您不知情的情況下，將您在Internet Explorer流覽器位址欄中輸入的內容回傳給IGetNet。
winstart001.exe
iGetNet公司的一個廣告插件，它允許您在Internet Explorer使用特殊關鍵字查找站點。該廣告插件建議刪除，以釋放系統資源。
WinStatKeep.exe
一個廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
wintaskad.exe
WindUpdates的廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
Wintime.exe   
一個病毒程式，會下載其他病毒和關閉殺毒軟體。該病毒同時會創建一個電話薄，嘗試撥打那些收費高昂的號碼。
wintsk32.exe
YAHA.U病毒。該病毒會關閉殺毒軟體，建立SMTP服務用以自身傳播。
winup.exe
“很棒小秘書”卸載方法
雙擊"c:\windows\system32"下的uninstall.exe 或者henbangkiller.exe 即可，
然後刪除這兩個文件和C:\Program Files\henbang文件夾。
如果你是xp sp2版，可以按照以下方法關閉它：
1：首先打開ie，然後選擇“internet選項”
2：選擇“程式”頁，點擊“管理載入項”
3：選中“UrlMonitor Class”，選擇禁用此項
4：OK了
最好運行msconfig將winup.exe的載入項去掉
木馬 winup.exe 徹底刪除方法
木馬 winup.exe經常和“很棒小秘書”一同出現，所以也要一起清除。
1、 在IE的工具裏點"管理載入項",禁用Downloadvalue Class , EyeOnIe Class ,
URLMonitor Class
2、在system32中運行一下henbangkiller.exe 再刪除 winhtp.dll hap.dll
xpieknl.dll winup.exe
3、在註冊表中刪除
HKEY_CURRENT_USER/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/Run下的 winup 鍵
HKEY_LOCAL_MACHINE/Software/Microsofthttp://windows.chinaitlab.com/CurrentVersion/Run下的 updata鍵
在msconfig裏面還有一個可疑的東西：msstart.exe 在任務管理器裏幹掉msstart的進程, 然後再到system32目錄下delete掉msstart.exe這個文件。
winupdate.exe
RADO病毒。該木馬允許攻擊者遠端控制您的電腦。
winupdt.exe
RBOT-FP蠕蟲。
winupdtl.exe
SecondThought廣告軟體相關進程，它會下載和顯示廣告。
winxp.exe   
W32.Beagle.AG@mm病毒。該病毒通過E-mail郵件傳播，當您打開附件時，即會被感染。該蠕蟲會在受害者機器上建立SMTP服務，用以自身傳播。該病毒允許攻擊者訪問您的電腦，竊取密碼和個人資料。
wmon32.exe
W32.Agobot-IT病毒。該病毒允許攻擊者訪問您的電腦，竊取密碼和個人資料。
wnad.exe
Twistedhumor.com的廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
wo.exe   
Ezula的廣告程式。會在您的Explorer工具條上增加搜索擴展按鈕。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
work.exe
病症：沒有特別表現,至少我是這麼感覺的，但是在系統進程以及開始啟動裡面多出以下進程
1.work.exe1.work.exe
2.mssql.exe2.mssql.exe
3.cftmons.exe3.cftmons.exe
释放文件釋放文件
%systemroot%\system32\cftmons.exe%systemroot%\system32\cftmons.exe
%systemroot%\system32\work.exe%systemroot%\system32\work.exe
%systemroot%\system32\mssql.exe%systemroot%\system32\mssql.exe
其中CFTMONS.EXE有时为系统隐藏进程，注意和正常的...其中CFTMONS.EXE有時為系統隱藏進程，注意和正常的...
wovax.exe   
是Win32.Daqa.A病毒的一部分。該木馬允許攻擊者訪問你的電腦，竊取木馬和個人資料。這個進程的安全等級是建議立即進行刪除。
wsup.exe
該進程會篡改您的Internet Explorer流覽器設置，在桌面創建快捷方式指向它的合作夥伴。該程式通常與其他軟體進行捆綁。
wsxsvc.exe   
Delfin Media Viewer廣告軟體相關進程。該廣告軟體會在您的桌面顯示廣告。
wtoolsa.exe   
一個廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
WToolsA.exe
一個廣告程式。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
wtoolss.exe   
Adware.Huntbar廣告軟體相關進程。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
wuamgrd.exe
WORM_AGOBOT.GY病毒。該病毒允許攻擊者訪問您的電腦，竊取密碼和個人資料。
wupdate.exe
Wengs廣告軟體相關進程。這個進程這個進程監視您的流覽習慣，並將相關資料回傳到其伺服器上用於分析。這個程式也會彈出廣告視窗。
wupdater.exe   
TrojanDownloader.Win32.Keenval木馬。該木馬允許攻擊者訪問您的電腦，竊取密碼和個人資料。
wupdmgr.exe   
Microsoft Windows Update系統更新工具。也可能是WORM_SPYBOT.B病毒，該病毒通過P2P檔共用軟體進行傳播，它允許攻擊者訪問您的電腦，竊取密碼和個人資料。
wupdt.exe
IMISERV病毒。它允許攻擊者遠端控制您的電腦。

[ 本帖最後由 chrismk 於 2007-7-1 01:06 PM 編輯 ]

chrismk

X

Xhrmy.exe
一個廣告程式。會自動下載廣告和在您的桌面上顯示。

chrismk

Y

y.exe
w32.small木馬。該木馬允許攻擊者訪問您的電腦，竊取密碼和個人資料

chrismk

z

z
ztinetzt.exe
Trojan.PSW.Win32.Agent.mk(PegeFile.pif)病毒的手動清除　　病毒名字：Trojan.PSW.Win32.Agent.mk（瑞星報毒名稱）
　　樣本名：PegeFile.pif
一：1.到down.45it.com下載費爾木馬強制刪除器工具.zip,解壓縮打開PowerRmv.exe,在檔案名處依次輸入
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.bak
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
以及所有分區下的PegeFile.pif和autorun.inf文件
,並勾選"抑制檔再次生成"最後點擊清除來刪除該檔。
　　二：ctrl＋alt＋del打開任務管理器，結束explorer.exe 進程然後刪除以下檔（參考步驟一）
C:\DOCUME~1\TestUser\LOCALS~1\Temp\2.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\1.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\mhso.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\mhso0.dll
C:\DOCUME~1\TestUser\LOCALS~1\Temp\3.exe
C:\WINDOWS\system32\ztinetzt.exe
C:\WINDOWS\system32\ztinetzt.dll
C:\DOCUME~1\TestUser\LOCALS~1\Temp\4.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\rxso.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\rxso0.dll
C:\DOCUME~1\TestUser\LOCALS~1\Temp\5.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\6.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\qjso.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\qjso0.dll
C:\WINDOWS\system32\Ravasktao.exe
C:\WINDOWS\system32\Ravasktao.dll
C:\DOCUME~1\TestUser\LOCALS~1\Temp\7.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\tlso.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\tlso0.dll
C:\DOCUME~1\TestUser\LOCALS~1\Temp\8.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\daso.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\daso0.dll
C:\DOCUME~1\TestUser\LOCALS~1\Temp\7.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\8.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\9.exe
C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
C:\DOCUME~1\TestUser\LOCALS~1\Temp\10.exe
C:\WINDOWS\system32\Drivers\usbinte.sys
C:\WINDOWS\system32\visin.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\11.exe
C:\WINDOWS\system32\mydata.exe
C:\WINDOWS\system32\moyu103.dll
C:\DOCUME~1\TestUser\LOCALS~1\Temp\13.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\wlso.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\wlso0.dll
C:\DOCUME~1\TestUser\LOCALS~1\Temp\14.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\wgso.exe
C:\DOCUME~1\TestUser\LOCALS~1\Temp\wgso0.dll
C:\DOCUME~1\TestUser\LOCALS~1\Temp\15.exe
C:\WINDOWS\system32\wuclmi.exe
C:\WINDOWS\system32\wincfg.exe
C:\WINDOWS\system32\mvdbc.exe
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\npf_mgm.exe
C:\WINDOWS\system32\daemon_mgm.exe
C:\WINDOWS\system32\NetMonInstaller.exe
C:\WINDOWS\system32\rpcapd.exe
C:\WINDOWS\system32\capinstall.exe
　　三：開始功能表－運行－輸入“regedit”打開註冊表刪除以下標橙色的項
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"wosa" = %TEMP%WOSO.EXE
"mhsa" = %TEMP%MHSO.EXE
"Microsoft Autorun14" = %SYSTEM%\ZTINETZT.EXE
"rxsa" = %TEMP%RXSO.EXE
"qjsa" = %TEMP%QJSO.EXE
"Microsoft Autorun9" = %SYSTEM%\RAVASKTAO.EXE
"tlsa" = %TEMP%TLSO.EXE
"dasa" = %TEMP%DASO.EXE
"wlsa" = %TEMP%WLSO.EXE
"wgsa" = %TEMP%WGSO.EXE
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"visin" = %SYSTEM%\VISIN.EXE
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
"{0EA66AD2-CF26-2E23-532B-B292E22F3266}" =
"{754FB7D8-B8FE-4810-B363-A788CD060F1F}" =
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nm
(Display Name)Network Monitor Driver = (IMAGEPATH)SYSTEM32\DRIVERS\NMNT.SYS
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF
(Display Name)NetGroup Packet Filter Driver = (IMAGEPATH)SYSTEM32\DRIVERS\NPF.SYS
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd
(Display Name)Remote Packet Capture Protocol v.0 (experimental) = (IMAGEPATH)"%PROGRAMFILES%\WINPCAP\RPCAPD.EXE" -D -F "%PROGRAMFILES%\WINPCAP\RPCAPD.INI"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys
    HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}
    HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{425882B0-B0BF-11CE-B59F-00AA006CB37D}
    HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}
    HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{944AD531-B09D-11CE-B59C-00AA006CB37D}
    HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D413C502-3FAA-11D0-B254-444553540000}

[ 本帖最後由 chrismk 於 2007-6-25 09:00 PM 編輯 ]

chrismk

其他有問題進程:

留位~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

mmlc415

原帖由 chrismk 於 2007-6-23 06:22 PM 發表


去錯topic了= =,是中毒呢
http://www.jxyz.net/Soft/SoftShow.Asp?SoftID=10
(下載copy.exe殺毒工具)

因來係中毒...norton竟然detect唔到...
咁我用左殺毒工具係咪就ok ga la?

mmlc415

但係個殺毒工具話搵唔到copy.exe同autorun.inf播!!

chrismk

上google search copy.exe吧!你會找到答案!而且這裡也寫下進程了!!

mmlc415

唔講晒你呀~依家無事啦!!你個post好有用~thx a lot^^

靈魂‧夜鬼

有個進程..koowoo.exe~唔知版主有無d個病毒既相關資料呢?

uhthn2002

原帖由 靈魂‧夜鬼 於 2007-7-16 08:45 PM 發表
有個進程..koowoo.exe~唔知版主有無d個病毒既相關資料呢?

google search koowoo.exe
會有好多

靈魂‧夜鬼

原帖由 uhthn2002 於 2007-7-17 11:13 AM 發表

google search koowoo.exe
會有好多

我知d個係一種病毒...上yahoo搵過...亦都試過佢果到講既方法清除...但未能完全清除到~=-=想問下有無方法能夠完完全全清除...除左format...><

chrismk

先更新360
http://360safe.qihoo.com/download.html
+
http://www.jb51.net/html/200706/124/10284.htm
+
入安全模式用360清除

[ 本帖最後由 chrismk 於 2007-7-22 04:25 PM 編輯 ]

艾ivy菲

終於解決了msn不能登入的問題 太好了
感謝樓主啊~~~我愛你>3<   

悲傷的思念

原帖由 chrismk 於 2007-2-17 11:17 PM 發表
無意中在其他地方找到:

藍色螢幕WINDOWS法寶錯誤代碼說明一覽表

0x000000D1 所傳送的信號不正確。
0x000000D1RIVER_IRQL_NOT_LESS_OR_EQUAL
錯誤分析:通常是由有問題的驅動程式引起的(比如羅技滑鼠的 ...

請問"故障恢復控制臺"  <<這個點開佢出來?=.=  幫幫小弟 thx~

chrismk

原帖由 悲傷的思念 於 2007-11-9 08:13 PM 發表

請問"故障恢復控制臺"   

http://support.microsoft.com/kb/307654/zh-cn

yy789789

唔知y? 我電腦按左關機 但傑會自己開番...

軒§YUI

MSN 81000306 問題
我試過都唔得