初生襁褓狮

帖子:33
注册: 2008-09-05
来自:

发表于： 2008-09-05 11:28 | 只看楼主 短消息资料

字号：小中大 1楼

求高手帮忙分析下,在线等

HBService.exe用杀毒杀不掉,重启自动生成,任务管理器打不开.

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322)

附件:

文件名:SREngLOG.log

下载次数:7

文件类型:application/octet-stream

文件大小:

上传时间:2008-9-5 11:28:10

描述:log

版主

帖子:3081
注册: 2007-11-09
来自:福建省福清市

发表于： 2008-09-05 11:47 | 短消息资料

字号：小中大 2楼

回复：求高手帮忙分析下,在线等

1.拷贝一份正常的2003系统ctfmon.exe粘贴到c:\windows\system32\文件夹内。

2.删除以下文件：

c:\windows\system32\xbyqpray.exe
c:\windows\system32\bzqcabyo.exe
c:\windows\system32\mduaeyk.exe
c:\windows\system32\explore.exe
c:\windows\system32\spmnkg.exe
c:\windows\system32\495271ca.dll
c:\windows\system32\4bf9cba3.dll
c:\windows\system32\730b78a6.dll
c:\windows\system32\9ca963ca.dll
c:\windows\system32\ba8a7b1e.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\fmcvxy.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\kncer10.dll
c:\windows\system32\mstimewd.dll
c:\windows\system32\nwapi32dj.dll
c:\windows\system32\rwzqekmv.dll
c:\windows\system32\slbiopfs2.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\xolehlpjh.dll
c:\docume~1\admini~1\locals~1\temp\e_4\iext.fnr
c:\docume~1\admini~1\locals~1\temp\e_4\krnln.fnr
c:\windows\soundman.exe
c:\program files\internet explorer\plugins\321nt64.987
c:\windows\temp\wowinitcode.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\495271ca.dll
c:\windows\system32\ba8a7b1e.dll
c:\windows\system32\4bf9cba3.dll
c:\windows\system32\9ca963ca.dll
c:\windows\system32\730b78a6.dll
c:\windows\system32\mduaey.dll
c:\windows\system32\cxpop.dll
c:\windows\system32\lensch.dll
c:\windows\system32\qxfel.dll
c:\windows\system32\comboaus.dll
c:\windows\system32\johandy.dll
c:\windows\system32\aotoppt.dll
c:\windows\system32\aaa.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\explore.exe
c:\windows\soundman.exe
c:\windows\system32\interne.exe
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\drivers\hbkernel.sys
c:\windows\temp\_tmp.bat
c:\windows\system32\drivers\oqpxaybp.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[nwapi32dj.dll]
[xolehlpjh.dll]
[slbiopfs2.dll]
[imgutilhx2.dll]
[mstimewd.dll]
[tscfgwmijxsj.dll]
[bootvidgj.dll]
[rwzqekmv.dll]
[{495271CA-D0C6-4052-ABE6-5B01C73CDFB0}]
[{7914E0AA-ECCB-4311-B584-C49538227824}]
[{A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9}]
[{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}]
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]
[{BA8A7B1E-1AB6-468D-9FB8-E46DE61AA23C}]
[{EB9660D8-E1CD-4ff0-B4A9-00CD907F928A}]
[{DA56B183-A731-402b-9235-2CB8803E212D}]
[{4BF9CBA3-8DEE-41A1-8BDB-FC28D30E949F}]
[{65056902-6E7B-4bd7-95BA-688DB5FA5BEB}]
[{9CA963CA-107C-4089-B0AB-31380F90D7E3}]
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]
[{730B78A6-9B9C-4C44-8645-1873BDCFD3B1}]
[{D3112B69-A745-4805-874E-ABD480EA1299}]
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]
注意该项[AppInit_DLLs]修改：把<mduaey.dll cxpop.dll lensch.dll qxfel.dll comboaus.dll johandy.dll aotoppt.dll,aaa.dll,HBmhly.dll>修改为<>即清空
[HBService]
[SoundMan]
删除所有注册名前带IFEO的项目以修复IFEO映像劫持

启动项目－－服务－－ Win32服务应用程序之如下项删除：
[Help and Support / helpsvc]

启动项目－－服务－－驱动程序之如下项删除：
[msiffei / msiffei]
[HBKernel Driver / HBKernel]
[bzwxu / bzwxu]
[oqpxaybp / oqpxaybp]

系统修复－－高级修复－－ API HOOK检查－－查看详情－－修复入口点错误

做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

个人博客

大约在东季初生襁褓狮帖子:5 注册: 2008-09-05 来自:	发表于： 2008-09-05 11:51 \| 短消息资料字号：小中大 3楼回复：求高手帮忙分析下,在线等好复杂

wwzj218 初生襁褓狮帖子:33 注册: 2008-09-05 来自:	发表于： 2008-09-05 11:51 \| 只看楼主短消息资料字号：小中大 4楼回复: 求高手帮忙分析下,在线等谢谢，，试下先。。

强壮不惑狮

帖子:993
注册: 2008-07-05
来自:Grand line

发表于： 2008-09-05 11:55 | 短消息资料

字号：小中大 5楼

回复: 求高手帮忙分析下,在线等

请断网后执行以下操作：
1.请使用Xdelbox删除以下文件（关于Xdelbox的下载使用请参考http://bbs.ikaka.com/showtopic-8442813.aspx）
C:\WINDOWS\system32\explore.exe
C:\WINDOWS\system32\rwzqekmv.dll
C:\WINDOWS\system32\bootvidgj.dll
C:\WINDOWS\system32\730B78A6.dll
C:\WINDOWS\system32\tscfgwmijxsj.dll
C:\WINDOWS\system32\9CA963CA.dll
C:\WINDOWS\system32\mstimewd.dll
C:\WINDOWS\system32\4BF9CBA3.dll
C:\WINDOWS\system32\imgutilhx2.
C:\WINDOWS\system32\slbiopfs2.dll
C:\WINDOWS\system32\BA8A7B1E.dll
C:\WINDOWS\system32\xolehlpjh.dll
C:\WINDOWS\system32\fmcvxy.dll
C:\WINDOWS\system32\nwapi32dj.dll
C:\WINDOWS\system32\jhfrxz.dll
C:\WINDOWS\system32\495271CA.dll
C:\WINDOWS\system32\drivers\oqpxaybp.sys
C:\WINDOWS\TEMP\_tmp.bat
C:\WINDOWS\system32\DRIVERS\HBKernel.sys
C:\WINDOWS\System32\Drivers\msiffei.sys
C:\WINDOWS\system32\iXPT.sys
C:\Program Files\Internet Explorer\PLUGINS\321Nt64.987
C:\WINDOWS\system32\spmnkg.exe
C:\WINDOWS\TEMP\WowInitcode.dll
C:\WINDOWS\system32\mduaeyk.exe
C:\WINDOWS\system32\bzqcabyo.exe
C:\WINDOWS\system32\xbyqpray.exe
C:\WINDOWS\system32\HBmhly.dll
2.使用Sreng在注册表启动项目中删除
<{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}><C:\WINDOWS\system32\rwzqekmv.dll> []
<{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\bootvidgj.dll> []
<{730B78A6-9B9C-4C44-8645-1873BDCFD3B1}><730B78A6.dll> []
<{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}><C:\WINDOWS\system32\tscfgwmijxsj.dll> []
<{9CA963CA-107C-4089-B0AB-31380F90D7E3}><9CA963CA.dll> []
<{65056902-6E7B-4bd7-95BA-688DB5FA5BEB}><C:\WINDOWS\system32\mstimewd.dll> []
<{4BF9CBA3-8DEE-41A1-8BDB-FC28D30E949F}><4BF9CBA3.dll> []
<{DA56B183-A731-402b-9235-2CB8803E212D}><C:\WINDOWS\system32\imgutilhx2.dll> []
<{EB9660D8-E1CD-4ff0-B4A9-00CD907F928A}><C:\WINDOWS\system32\slbiopfs2.dll> []
<{BA8A7B1E-1AB6-468D-9FB8-E46DE61AA23C}><BA8A7B1E.dll> []
<{F0930A2F-D971-4828-8209-B7DFD266ED44}><C:\WINDOWS\system32\xolehlpjh.dll> []
<{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\WINDOWS\system32\fmcvxy.dll> []
<{A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9}><C:\WINDOWS\system32\nwapi32dj.dll> []
<{7914E0AA-ECCB-4311-B584-C49538227824}><C:\WINDOWS\system32\jhfrxz.dll> []
<{495271CA-D0C6-4052-ABE6-5B01C73CDFB0}><495271CA.dll> []
<rwzqekmv.dll><C:\WINDOWS\system32\rwzqekmv.dll> []
<bootvidgj.dll><C:\WINDOWS\system32\bootvidgj.dll> []
<tscfgwmijxsj.dll><C:\WINDOWS\system32\tscfgwmijxsj.dll> []
<mstimewd.dll><C:\WINDOWS\system32\mstimewd.dll> []
<imgutilhx2.dll><C:\WINDOWS\system32\imgutilhx2.dll> []
<slbiopfs2.dll><C:\WINDOWS\system32\slbiopfs2.dll> []
<xolehlpjh.dll><C:\WINDOWS\system32\xolehlpjh.dll> []
<nwapi32dj.dll><C:\WINDOWS\system32\nwapi32dj.dll> []
3.使用附件的东东
4.使用windows清理助手清理系统
5.上传新日志

附件:

文件名:映像劫持修复工具.rar

下载次数:17

文件类型:application/octet-stream

文件大小:

上传时间:2008-9-5 11:55:28

描述:rar

wwzj218 初生襁褓狮帖子:33 注册: 2008-09-05 来自:	发表于： 2008-09-05 12:00 \| 只看楼主短消息资料字号：小中大 6楼回复：求高手帮忙分析下,在线等我想问下.如果这样清除成功后.运行别的EXE文件他会不会又自动生成这些病毒出来?

豪斯登堡新郎版主帖子:3081 注册: 2007-11-09 来自:福建省福清市	发表于： 2008-09-05 12:07 \| 短消息资料字号：小中大 7楼回复：求高手帮忙分析下,在线等日志并不能确定你是否中了感染型病毒如果不放心，建议打包一些小的exe文件上传“可疑文件交流”版个人博客

wwzj218 初生襁褓狮帖子:33 注册: 2008-09-05 来自:	发表于： 2008-09-05 12:16 \| 只看楼主短消息资料字号：小中大 8楼回复: 求高手帮忙分析下,在线等 Help and Support / helpsvc 这个服务无法删除怎么办？您所指小的exe文件是随便的一个文件吗？？还是C盘的系统文件？如（explore.exe ctfmon.exe）这些？

豪斯登堡新郎版主帖子:3081 注册: 2007-11-09 来自:福建省福清市	发表于： 2008-09-05 12:20 \| 短消息资料字号：小中大 9楼回复：求高手帮忙分析下,在线等非系统分区上的。。。 SRE删除服务时请注意：出现提示时选“否”才是删除，选“是”则是取消删除请在操作的时候留意出现的提示后继续。。豪斯登堡新郎最后编辑于 2008-09-05 12:21:17 个人博客

wwzj218 初生襁褓狮帖子:33 注册: 2008-09-05 来自:	发表于： 2008-09-05 12:26 \| 只看楼主短消息资料字号：小中大 10楼回复: 求高手帮忙分析下,在线等非常感谢，，，没太注意，呵呵

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛求高手帮忙分析下,在线等

[求助] 求高手帮忙分析下,在线等

求高手帮忙分析下,在线等

附件:

文件名:SREngLOG.log

下载次数:7

文件类型:application/octet-stream

文件大小:

上传时间:2008-9-5 11:28:10

描述:log

回复：求高手帮忙分析下,在线等

回复：求高手帮忙分析下,在线等

回复: 求高手帮忙分析下,在线等

回复: 求高手帮忙分析下,在线等

附件:

文件名:映像劫持修复工具.rar

下载次数:17

文件类型:application/octet-stream

文件大小:

上传时间:2008-9-5 11:55:28

描述:rar

回复：求高手帮忙分析下,在线等

回复：求高手帮忙分析下,在线等

回复: 求高手帮忙分析下,在线等

回复：求高手帮忙分析下,在线等

回复: 求高手帮忙分析下,在线等

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求高手帮忙分析下,在线等

[求助] 求高手帮忙分析下,在线等

求高手帮忙分析下,在线等

附件:

文件名:SREngLOG.log 下载次数:7 文件类型:application/octet-stream 文件大小: ShowFormatBytesStr(41528); 上传时间:2008-9-5 11:28:10 描述:log

回复：求高手帮忙分析下,在线等

回复：求高手帮忙分析下,在线等

回复: 求高手帮忙分析下,在线等

回复: 求高手帮忙分析下,在线等

附件:

文件名:映像劫持修复工具.rar 下载次数:17 文件类型:application/octet-stream 文件大小: ShowFormatBytesStr(8856); 上传时间:2008-9-5 11:55:28 描述:rar

回复：求高手帮忙分析下,在线等

回复：求高手帮忙分析下,在线等

回复: 求高手帮忙分析下,在线等

回复：求高手帮忙分析下,在线等

回复: 求高手帮忙分析下,在线等

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛求高手帮忙分析下,在线等

文件名:SREngLOG.log

下载次数:7

文件类型:application/octet-stream

文件大小:

上传时间:2008-9-5 11:28:10

描述:log

文件名:映像劫持修复工具.rar

下载次数:17

文件类型:application/octet-stream

文件大小:

上传时间:2008-9-5 11:55:28

描述:rar