瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 HBmhly.dll这个病毒该怎么清除!多谢了。

12   1  /  2  页   跳转

[已关闭] HBmhly.dll这个病毒该怎么清除!多谢了。

HBmhly.dll这个病毒该怎么清除!多谢了。

我的电脑操作系统是windows2003 ,是个笔记本,最初出现的异常情况是360打不开了,在网上重新下载一个来安装,但是一点击安装程序就消失了,我的瑞星卡卡也是这个情况,所以现在卡卡也用不了.现在电脑上只有一个瑞星杀毒软件和一个瑞星个人防火墙,还好这两个没事.再后来我正在用傲游浏览器看网页,当时开的有百度的搜索页面和360的论坛,然后不知道是怎么回事,浏览器突然关闭了,然后我再打开浏览器的时候360论坛和百度就出现异常了,百度的导航 贴吧变成了首页 新闻变成了资讯,搜索网页时自动转入了sogou的搜索结果 百度知道贴吧点击的时候没反应,其它正常;打开360论坛的时候上面的地址栏里的网址自动变成http://www.yahoo.com.cn/但网页显示的还是百度的那个错误页面,其它正常。  请高手帮忙解决一下,
下面是SRENG扫描日志和百度、360的异常截图
请高手帮忙分析一下日志

附件: 百度和360的异常截图.zip (2008-8-12 12:10:02, 35.78 K)
该附件被下载次数 424



用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; Maxthon)

请高手指出病毒的路径,我想试下用费尔木马强力清除助手或 XDelBox删一下看能不能删掉。如果有更好的办法那就更好了。电脑上有很多重要的重要的东西不能重装系统的。再次谢过了!

附件附件:

文件名:SREngLOG.log
下载次数:306
文件类型:application/octet-stream
文件大小:
上传时间:2008-8-12 11:47:11
描述:log

最后编辑夜里的雨 最后编辑于 2008-08-14 08:30:58
分享到:
gototop
 

回复:HBmhly.dll这个病毒该怎么清除!多谢了。

请使用Xdelbox删除以下文件(关于Xdelbox的下载使用请参考http://bbs.ikaka.com/showtopic-8442813.aspx
C:\WINDOWS\system32\HBInject.exe
C:\WINDOWS\system32\HBmhly.dll
C:\WINDOWS\system32\DRIVERS\HBKernel.sys
C:\WINDOWS\system32\Drivers\000b3c7a.sys
C:\WINDOWS\system32\mttwfh.dll
C:\WINDOWS\system32\wklsdd.dll
C:\WINDOWS\system32\ddserh.dll
C:\WINDOWS\system32\zgtwfx.dll
C:\DOCUME~1\ADMINI~2.TCL\LOCALS~1\Temp\1.tmp
C:\0047CA6B\0047CA73

使用Sreng在注册表启动项目中
删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的<HBService><HBInject.exe>  [N/A]
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的
<{021F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll>  [File is missing]
    <{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}><C:\WINDOWS\system32\wklsdd.dll>  [File is missing]
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll>  []
    <{84143967-B645-4BFF-B873-DA1DC886E9A7}><>  [N/A]
    <{006CA8A1-61BC-4774-A54C-F49034270BAD}><C:\WINDOWS\system32\zgtwfx.dll>  [File is missing]
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><>  [N/A]
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><>  [N/A]
将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]下的
    <AppInit_DLLs><HBmhly.dll>  [N/A]改成<AppInit_DLLs>< >
gototop
 

回复: HBmhly.dll这个病毒该怎么清除!多谢了。

1.用XDelBox勾选抑制再生后删除以下文件:(XDelBox1.7支持奥运版下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\ddserh.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\hbinject.exe
c:\windows\system32\mttwfh.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\zgtwfx.dll
c:\windows\system32\drivers\000b3c7a.sys
c:\windows\system32\drivers\hbkernel.sys
c:\0047ca6b\0047ca73
e:\1wise\ie.sys
c:\docume~1\admini~2.tcl\locals~1\temp\1.tmp
c:\windows\system32\iuzfowz.dll
c:\windows\system32\rsafun.dll
c:\windows\system32\npopenstore.dll
c:\windows\system32\npcard.dll
c:\windows\system32\gpkpcsc.dll
e:\program files\tencent\qq\pbgmvd.dll
e:\program files\tencent\qq\qdshm.dll

2.删除重启后使用SREng修复下面各项:

启动项目 -- 注册表之如下项删除:

[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]    <>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]    <>
[{84143967-B645-4BFF-B873-DA1DC886E9A7}]    <>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[HBService]    <HBInject.exe>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{006CA8A1-61BC-4774-A54C-F49034270BAD}]    <C:\WINDOWS\system32\zgtwfx.dll>
注意该项[AppInit_DLLs]修改:把<HBmhly.dll>修改为<>即清空

    启动项目 -- 服务-- 驱动程序之如下项禁用:

[000b3c7a / 000b3c7a]    <\??\C:\WINDOWS\system32\Drivers\000b3c7a.sys>
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
[SZNB / SZNB]    <\??\C:\0047CA6B\0047CA73>
[ttRepair / ttRepair]    <\??\E:\1wise\IE.sys>
[snpshot / snpshot]    <\??\C:\DOCUME~1\ADMINI~2.TCL\LOCALS~1\Temp\1.tmp>

做完后最好开着qq再扫描一个日志上来看看
gototop
 

回复:HBmhly.dll这个病毒该怎么清除!多谢了。

为什么将<AppInit_DLLs><HBmhly.dll>  [N/A]改成<AppInit_DLLs>< > 时, 改不了呢,
我选中AppInit_DLLs然后编辑 把键值删除  再点确定 上面显示的还是<AppInit_DLLs><HBmhly.dll>
那个HBmhly.dll改不了啊.怎么办呢?
gototop
 

回复 4F 夜里的雨 的帖子

<AppInit_DLLs><HBmhly.dll>中的HBmhly.dll是病毒项,而这项不能删除,只能修改,尝试用冰刃修改注册表
gototop
 

回复: HBmhly.dll这个病毒该怎么清除!多谢了。

我把瑞星的监控和防火墙给关了就能改了.
这是我开着QQ又扫了一下.麻烦再给看一下.

附件附件:

文件名:SREngLOG.log
下载次数:290
文件类型:application/octet-stream
文件大小:
上传时间:2008-8-12 14:02:46
描述:log

gototop
 

回复:HBmhly.dll这个病毒该怎么清除!多谢了。

不行啊,我照着你们说的方法做了,但是问题依然存在啊.360的安装程序依然打不开,一点击 安装程序就没了,网页还是原来那样啊. 没有一点好转啊.6楼的附件是刚刚扫的,麻烦再给分析一下吧. 我在线等着大家的回复.我的QQ是573711735,如果方便的话,用QQ进行远程协助也行。再次谢谢大家了。
最后编辑夜里的雨 最后编辑于 2008-08-12 14:18:47
gototop
 

回复 7F 夜里的雨 的帖子

你还没有吧二楼和三楼的那几个文件删除
gototop
 

回复:HBmhly.dll这个病毒该怎么清除!多谢了。

我加你Q试试

API HOOK
入口点错误:RegEnumValueA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\iuzfowz.dll)
入口点错误:RegEnumValueW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\iuzfowz.dll)
入口点错误:RegOpenKeyExA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\iuzfowz.dll)
入口点错误:CreateFileA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\iuzfowz.dll)
入口点错误:CreateFileW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\iuzfowz.dll)

最主要的问题在这
最后编辑最硬的石头 最后编辑于 2008-08-12 16:56:40
gototop
 

回复:HBmhly.dll这个病毒该怎么清除!多谢了。

C:\WINDOWS\system32\Drivers\000b3c7a.sys
C:\WINDOWS\system32\DRIVERS\HBKernel.sys
C:\DOCUME~1\ADMINI~2.TCL\LOCALS~1\Temp\1.tmp
C:\0047CA6B\0047CA73
E:\1wise\IE.sys
E:\Program Files\Tencent\qq\pbgmvd.dll
这几项还没有删掉,用Xdelbox删除后

sreng修复:

启动项目 -- 服务-- 驱动程序之如下项禁用:

[000b3c7a / 000b3c7a]    <\??\C:\WINDOWS\system32\Drivers\000b3c7a.sys>
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
[SZNB / SZNB]    <\??\C:\0047CA6B\0047CA73>
[ttRepair / ttRepair]    <\??\E:\1wise\IE.sys>
[snpshot / snpshot]    <\??\C:\DOCUME~1\ADMINI~2.TCL\LOCALS~1\Temp\1.tmp>
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT