瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 中了HBInJect.exe病毒,上传了报告(不知道是不是上周那个AV的没杀干净)

1   1  /  1  页   跳转

[求助] 中了HBInJect.exe病毒,上传了报告(不知道是不是上周那个AV的没杀干净)

中了HBInJect.exe病毒,上传了报告(不知道是不是上周那个AV的没杀干净)

。。。开了软件发现启动项多了个HBInJect.exe,SREng提示 注册表值APPinit_DLLs被修改为非正常值**&&&等等
多的不说,直接传诊断结果,各位帮忙看看

附件: SREngLOG.log (2008-8-12 14:24:41, 28.05 K)
该附件被下载次数 98



用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; MAXTHON 2.0)
最后编辑菜菜1231 最后编辑于 2008-08-12 14:33:46
分享到:
gototop
 

回复:中了HBInJect.exe病毒,上传了报告(不知道是不是上周那个AV的没杀干净)

该用户帖子内容已被屏蔽
gototop
 

回复:中了HBInJect.exe病毒,上传了报告(不知道是不是上周那个AV的没杀干净)

1.建议使用XDelBox删除以下文件:(XDelBox1.6下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\hbinject.exe
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\hbinject.exe
c:\windows\system32\drivers\hbkernel.sys
c:\windows\system32\drivers\protectora.sys
c:\windows\system32\drivers\protector.sys
c:\windows\system32\drivers\npf.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
注意该项[AppInit_DLLs]修改:把<HBmhly.dll>修改为<>即清空
[HBService]    <HBInject.exe>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
[ProtectorA / ProtectorA]    <\??\C:\WINDOWS\system32\drivers\ProtectorA.sys>
[Protector / Protector]    <system32\drivers\Protector.sys>
[NetGroup Packet Filter Driver / NPF]    <system32\drivers\npf.sys>
gototop
 

回复:中了HBInJect.exe病毒,上传了报告(不知道是不是上周那个AV的没杀干净)

救命啊,咋还没人来帮俺分析
gototop
 

回复: 中了HBInJect.exe病毒,上传了报告(不知道是不是上周那个AV的没杀干净)



引用:
原帖由 太一 于 2008-8-12 14:53:00 发表
1.建议使用XDelBox删除以下文件:(XDelBox1.6下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介

....按你说的做了,没用。。。。。。。
gototop
 

回复:中了HBInJect.exe病毒,上传了报告(不知道是不是上周那个AV的没杀干净)

该用户帖子内容已被屏蔽
gototop
 

回复:中了HBInJect.exe病毒,上传了报告(不知道是不是上周那个AV的没杀干净)

1.建议使用XDelBox删除以下文件:(XDelBox1.6下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\wavbq.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\hbinject.exe
c:\windows\system32\13577.dat
c:\windows\system32\drivers\hbkernel.sys
c:\windows\system32\drivers\protectora.sys
c:\windows\system32\drivers\protector.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\drivers\opoy.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
注意该项[AppInit_DLLs]修改:把<HBmhly.dll>修改为<>即清空
[HBService]    <HBInject.exe>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
[ProtectorA / ProtectorA]    <\??\C:\WINDOWS\system32\drivers\ProtectorA.sys>
[Protector / Protector]    <system32\drivers\Protector.sys>
[NetGroup Packet Filter Driver / NPF]    <system32\drivers\npf.sys>
[opoy / opoy]    <\??\C:\WINDOWS\system32\drivers\opoy.sys>


这回试试
gototop
 

回复:中了HBInJect.exe病毒,上传了报告(不知道是不是上周那个AV的没杀干净)

c:\windows\system32\drivers\protectora.sys
c:\windows\system32\drivers\protector.sys
楼主有用银行的网络服务吗
有的话,这两个不用删
中国银行安全控件
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 

回复: 中了HBInJect.exe病毒,上传了报告(不知道是不是上周那个AV的没杀干净)

必须先用SRENG修复下列API HOOK ,否则操作无效

API HOOK
入口点错误:RegEnumValueA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\wavbq.dll)
入口点错误:RegEnumValueW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\wavbq.dll)
入口点错误:RegOpenKeyExA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\wavbq.dll)
入口点错误:CreateServiceA (危险等级: 高,  被下面模块所HOOK: Dest Addr: 0x001454AC)可能正常)
入口点错误:CreateFileA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\wavbq.dll)
入口点错误:CreateFileW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\wavbq.dll)

gototop
 

回复: 中了HBInJect.exe病毒,上传了报告(不知道是不是上周那个AV的没杀干净)

1.使用金山清理专家清理临时文件夹和IE目录,如果病毒在还原点,则关闭系统还原。
—————————————————————————————————————————————
2.下列文件可疑到下列网址确认下
多引擎病毒扫描网
或者卡卡文件诊所
C:\WINDOWS\system32\HBInject.exe
C:\WINDOWS\system32\13577.dat
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\wavbq.dll
如果是病毒的话使用XDelBox删除或其他方法删除(我签名)

XDelBox的使用


冰刃【复制改写】删除文件

—————————————————————————————————————————————
3.单击【开始】--选择【运行】--输入regedit--【回车】--进入注册表编辑器:

将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
定位到<AppInit_DLLs>把这个注册表值项的数值数据清空,切忌不要删除。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
  删除如下注册表值项: <{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}><C:\WINDOWS\system32\dpvvoxmh.dll>

—————————————————————————————————————————————
4.启动windows优化大师,清理注册表。
运行WINDOWS清理助手或卡卡安全助手或金山清理专家,清理恶意程序和病毒的残留物,启动杀软全盘扫
描,完成最后的清理。
点击下载:金山清理专家
点击下载:windows优化大师
点击下载:windows清理助手
点击下载:卡卡安全助手
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT