求助各位高手，前几天机子中毒了，与HBinject有关，瑞星和卡卡的运行程序都被破坏，旧版本的瑞星不能升级，也不能完全卸载，安全模式也进入不了。Sreng的执行程序刚一运行就被删除，将其程序名改了后也是运行即被删除。从论坛上看了一些帖子，试了都不行，这个病毒不让运行所有与杀毒相关的exe程序，在线杀毒点击后就被链接到www.yahoo.com.cn，但显示的是百度的页面。折腾了几天都没有搞定，请各位高手支招，不胜感激！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)

问题已解决，感谢各位高手！！！

http://bbs.ikaka.com/showtopic-8517758.aspx

请看这里

非常感谢！扫描报告已经上传，请高手施救！

1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\program files\internet explorer\plugins\windows64.sys
c:\windows\system32\certmgrkd.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\exbbhlvv.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\iuzvqmnwf.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\wzcfsw.dll
d:\tencent\qq\pbgcxt.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\pedadt.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\hbinject.exe
c:\Program Files\lgap\vqkz.dll
c:\windows\system32\rmgv.dll
c:\windows\system32\drivers\hbkernel.sys
c:\windows\system32\drivers\apaidi.sys

2.删除重启后修复映像劫持
修复工具：
http://www.antidu.cn/html/7/2008/1/antidu_200817213549.html

3.使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[HBService]    <; HBInject.exe>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{5E907A48-400E-4EA8-9792-FFAE052D59E9}]    <C:\WINDOWS\system32\pedadt.dll>
[{28766E1C-74B0-4417-8C75-F12AE309EF35}]    <C:\WINDOWS\system32\wzcfsw.dll>
[{D47A61B8-0EAB-417F-8DF4-5C949982A2AF}]    <C:\Program Files\Internet Explorer\PLUGINS\Windows64.Sys>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}]    <C:\WINDOWS\system32\certmgrkd.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\exbbhlvv.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}]    <C:\WINDOWS\system32\avicapwm.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
注意该项[AppInit_DLLs]修改：把<HBmhly.dll>修改为<>即清空
[HBService]    <HBInject.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[Windows qlfu RunThem / qlfu]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\lgap\vqkz.dll>
[CoolWare / CoolWare]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\rmgv.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
[Apaidi / Apaidi]    <\??\C:\WINDOWS\system32\drivers\Apaidi.sys>

删除注册表
<HBService><HBInject.exe>  [N/A]
  <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\lweurqhx.dll>  []
    <{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}><C:\WINDOWS\system32\cliconfgzx.dll>  []
    <{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}><C:\WINDOWS\system32\avicapwm.dll>  [N/A]
    <{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}><C:\WINDOWS\system32\exbbhlvv.dll>  []
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  [N/A]
    <{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\system32\dispexcb.dll>  []
    <{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}><C:\WINDOWS\system32\certmgrkd.dll>  []
    <{D47A61B8-0EAB-417F-8DF4-5C949982A2AF}><C:\Program Files\Internet Explorer\PLUGINS\Windows64.Sys>  []
    <{28766E1C-74B0-4417-8C75-F12AE309EF35}><C:\WINDOWS\system32\wzcfsw.dll>  []
    <{5E907A48-400E-4EA8-9792-FFAE052D59E9}><C:\WINDOWS\system32\pedadt.dll>  [N/A]
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll>  [N/A]
  <HBService><; HBInject.exe>  [N/A]
    <UserFaultCheck><; %systemroot%\system32\dumprep 0 -u>  [N/A]
    <WinampAgent><; d:\Winamp\winampa.exe>  []
    <YLive.exe><; C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe>  [N/A]
删除服務
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\lgap\vqkz.dll
C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\iesnap\navoct.dll

有問題的驅動
[Apaidi / Apaidi][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>
[aslm75 / aslm75][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\aslm75.sys><N/A>
[d344bus / d344bus][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\d344bus.sys><>
[d344prt / d344prt][Running/Boot Start]
  <\SystemRoot\System32\Drivers\d344prt.sys><>
[ferdr / ferdr][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\Ferdr.sys><N/A>
[HBKernel Driver / HBKernel][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\HBKernel.sys><N/A>
[ids00026 / ids00026][Stopped/Manual Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys><N/A>
[ids0005c / ids0005c][Stopped/Manual Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys><N/A>
[kmsinput / kmsinput][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\kmsinput.sys><N/A>
[MyFSD / MyFSD][Stopped/Manual Start]
  <\??\C:\Documents and Settings\pengwenlisust\Application Data\vosClient\myfsd.sys><N/A>
[npkcrypt / npkcrypt][Stopped/Auto Start]
  <\??\D:\Tencent\qq\npkcrypt.sys><N/A>
[PCAMp50 NDIS Protocol Driver / PCAMp50][Stopped/Manual Start]
  <System32\Drivers\PCAMp50.sys><N/A>
[PCASp50 NDIS Protocol Driver / PCASp50][Stopped/Manual Start]
  <System32\Drivers\PCASp50.sys><N/A>
删除進程
  [C:\WINDOWS\system32\HBmhly.dll]  [N/A, ]
    [C:\WINDOWS\system32\AcSignIcon.dll]  [Autodesk, 16.2.54.0]
    [C:\WINDOWS\system32\lweurqhx.dll]  [N/A, ]
    [C:\WINDOWS\system32\cliconfgzx.dll]  [N/A, ]
    [C:\WINDOWS\system32\exbbhlvv.dll]  [N/A, ]
    [C:\WINDOWS\system32\dispexcb.dll]  [N/A, ]
    [C:\WINDOWS\system32\certmgrkd.dll]  [N/A, ]
    [C:\Program Files\Internet Explorer\PLUGINS\Windows64.Sys]  [N/A, ]
    [C:\WINDOWS\system32\wzcfsw.dll]  [N/A, ]
    [C:\WINDOWS\system32\iuzvqmnwf.dll]  [N/A, ]

断开网络
删除下列文件:
C:\WINDOWS\SYSTEM32\HBINJECT.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\0006DDF5.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\AAAAAA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\AAAAAAA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\AAAABB.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\AAAABBB.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\BBBBB.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\BBBBBB.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\BBBBBBB.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\BBBOOO.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\CCCCC.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\CCCCCC.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\CCCCCCC.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\CCCCXXX.SYS
C:\DOCUME~1\PIN\LOCALS~1\TEMP\_TMP.BAT
SYSTEM32\DRIVERS\NPF.SYS
C:\WINDOWS\SYSTEM32\NPKYCRYP.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\OOOOO.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\OOOOOO.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PPCCCCC.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PPPPP.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PPPPPC.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PPPPPP.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\PPPPPPP.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\QQQQQQ.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\QRRRRR.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\RRRRRRR.SYS
C:\WINDOWS\SYSTEM32\TESSAFE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\XXXXX.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\XXXXXX.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\XXXXXXX.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\XXXXYY.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\XXXYY.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\XXYYYYY.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\YYYYYY.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\YYYYYYY.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\YYYZZ.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\ZZQQQQQ.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\ZZZQQQ.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\ZZZZZ.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\ZZZZZZ.SYS

后用优化大师清理垃圾注册表

乱弹琴
有这些
驱动么
重装系统吧
木马群+JAV

D:\Tencent\qq\pbgcxt.dll始作俑者

“注意该项[AppInit_DLLs]修改：把<HBmhly.dll>修改为<>即清空”
<HBmhly.dll>不能清空，请问怎么办？

先按照4楼操作

操作完
开QQ，新日志看看

具体操作可以看这个帖子的4楼
http://bbs.ikaka.com/showtopic-8442813.aspx