瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 和大家差不多的症状,已经扫描日志了

12   1  /  2  页   跳转

[已解决] 和大家差不多的症状,已经扫描日志了

和大家差不多的症状,已经扫描日志了

症状:
1.开机的时候提示:
应用程序或DLL C:\Windows\System32\HBCT.DLL为无效的Wimdows映像。清再检测一遍您的安装盘。
和  应用程序或DLL C:\Windows\System32\HBQQSG.DLL为无效的Wimdows映像。清再检测一遍您的安装盘。

2.任务管理器打不开


瑞星扫描的病毒:
Trojan.PSW.Win32.CtOnLine.a  在  C:\Windows\System32\HBCT.DLL

Trojan.PSW.Win32.GameOL.qky  在 C:\Windows\System32\HBQQSG.DLL
说的是重启后删除
但无效.

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16

附件附件:

文件名:SREngLOG.log
下载次数:144
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-23 17:26:24
描述:log

最后编辑zhuzhu1111 最后编辑于 2008-09-24 01:38:11
分享到:
gototop
 

回复:和大家差不多的症状,已经扫描日志了

1.建议使用XDelBox删除以下文件:(XDelBox1.6下载)
我好像看到过这样本,tasmgr已经被删除,可以在正常的机子拷贝下
你的dll基本都已经被瑞星删除了,可以进入注册表找到,删除相应的dll(可以配合冰刃)效果更好,
运行输入msconfig,禁用system,此文件不正常,特别是HB的dll很可恶,遇到过另外问下盘下是否生成auto文件?hbqqsg.dll,hbct.dll,kmon.dll
system.exe
c:\windows\system32\klukterb.dll
c:\windows\system32\kpfxwiqd.dll
c:\windows\system32\lpudtxco.dll
c:\windows\system32\kpqihtmk.dll
c:\windows\system32\nswwulzy.dll
c:\windows\system32\uqvoreex.dll
c:\windows\system32\yeqvcyav.dll
c:\windows\system32\svtwqqzn.dll
c:\windows\system32\qiahhxqm.dll
c:\windows\system32\drivers\hbkernel32.sys
c:\windows\system32\drivers\atlapi.sys
c:\documents and settings\all users\application data\microsoft\media player\obj\wmpobj.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[run]    <>
注意该项[AppInit_DLLs]修改:把<HBQQSG.dll,HBCT.dll,kmon.dll>修改为<>即清空
[HBService32]    <System.exe>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\klukterb.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\kpfxwiqd.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}]    <C:\WINDOWS\system32\lpudtxco.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\kpqihtmk.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\nswwulzy.dll>
[{A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9}]    <C:\WINDOWS\system32\uqvoreex.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\yeqvcyav.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\svtwqqzn.dll>
[{434FA69C-5F0A-42e1-82B8-10AF2C8E53C6}]    <C:\WINDOWS\system32\qiahhxqm.dll>
[kpqihtmk.dll]    <C:\WINDOWS\system32\kpqihtmk.dll>
[nswwulzy.dll]    <C:\WINDOWS\system32\nswwulzy.dll>
[kpfxwiqd.dll]    <C:\WINDOWS\system32\kpfxwiqd.dll>
[klukterb.dll]    <C:\WINDOWS\system32\klukterb.dll>
[uqvoreex.dll]    <C:\WINDOWS\system32\uqvoreex.dll>
[lpudtxco.dll]    <C:\WINDOWS\system32\lpudtxco.dll>
[yeqvcyav.dll]    <C:\WINDOWS\system32\yeqvcyav.dll>
[svtwqqzn.dll]    <C:\WINDOWS\system32\svtwqqzn.dll>
[qiahhxqm.dll]    <C:\WINDOWS\system32\qiahhxqm.dll>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[HBKernel32 Driver / HBKernel32]    <\SystemRoot\system32\DRIVERS\HBKernel32.sys>
[Atlapi / Atlapi]    <\??\C:\WINDOWS\system32\drivers\atlapi.sys>
[wmpobj / wmpobj]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys>

netdde.exe文件自己检查下,看是否有问题
本帖被评分 1 次
最后编辑dfds1253 最后编辑于 2008-09-23 18:18:33
gototop
 

回复:和大家差不多的症状,已经扫描日志了

删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
<HBService32><System.exe>
用SRENG恢复[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><HBQQSG.dll,HBCT.dll,kmon.dll>  []为
默认值
结束隐藏进程System.exe
再查杀
gototop
 

回复:和大家差不多的症状,已经扫描日志了

郁闷啊,
又杀出俩病毒:
AdWare.Win32.Undef.dik 在 C:\Windows\System32\borpz.bat>>$[32]\18.exe>>aspr.ske.2.x解压缩后杀毒
Trojan.PSW.Win32.GameOL.qls在C:\Windows\System32\System.exe重启后删除
gototop
 

回复:和大家差不多的症状,已经扫描日志了

清除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]下的
<{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}><C:\WINDOWS\system32\klukterb.dll>  [File is missing]
    <{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}><C:\WINDOWS\system32\kpfxwiqd.dll>  [File is missing]
    <{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\lpudtxco.dll>  [File is missing]
    <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\kpqihtmk.dll>  [File is missing]
    <{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\system32\nswwulzy.dll>  [File is missing]
    <{A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9}><C:\WINDOWS\system32\uqvoreex.dll>  [File is missing]
    <{F0930A2F-D971-4828-8209-B7DFD266ED44}><C:\WINDOWS\system32\yeqvcyav.dll>  [File is missing]
    <{DA56B183-A731-402b-9235-2CB8803E212D}><C:\WINDOWS\system32\svtwqqzn.dll>  [File is missing]
    <{434FA69C-5F0A-42e1-82B8-10AF2C8E53C6}><C:\WINDOWS\system32\qiahhxqm.dll>  [File is missing]
清除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的
<{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}><C:\WINDOWS\system32\klukterb.dll>  [File is missing]
    <{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}><C:\WINDOWS\system32\kpfxwiqd.dll>  [File is missing]
    <{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\lpudtxco.dll>  [File is missing]
    <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\kpqihtmk.dll>  [File is missing]
    <{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\system32\nswwulzy.dll>  [File is missing]
    <{A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9}><C:\WINDOWS\system32\uqvoreex.dll>  [File is missing]
    <{F0930A2F-D971-4828-8209-B7DFD266ED44}><C:\WINDOWS\system32\yeqvcyav.dll>  [File is missing]
    <{DA56B183-A731-402b-9235-2CB8803E212D}><C:\WINDOWS\system32\svtwqqzn.dll>  [File is missing]
    <{434FA69C-5F0A-42e1-82B8-10AF2C8E53C6}><C:\WINDOWS\system32\qiahhxqm.dll>  [File is missing]
本帖被评分 1 次
gototop
 

回复 5F 欧歌 的帖子

服务
[mplzru / mplzru][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k mplzru-->%SystemRoot%\System32\hcxxoh.dll><N/A有问题没?
驱动程序
[dtscsi / dtscsi][Running/Manual Start]
  <\SystemRoot\System32\Drivers\dtscsi.sys><N/A>
[sptd / sptd][Running/Boot Start]
  <\SystemRoot\System32\Drivers\sptd.sys><N/A>
[WINIO / WINIO][Stopped/Manual Start]
  <\??\G:\游戏\hknms.sys><N/A>好像不对啊
正在运行的进程
[PID: 1628 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-0852)]
    [C:\WINDOWS\system32\mdimon.dll]  [Microsoft Corporation, 11.3.2175.0]
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll]  [Microsoft Corporation, 1
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\ppbipr.dll]  [Black Ice Software, 2.00]
[C:\WINDOWS\system32\CmdLineExt03.dll]  [N/A, ]也不正常,那个black ice是著名黑客软件吧?
最后编辑探路狮 最后编辑于 2008-09-23 19:02:14
http://virscan.org可疑文件检测
gototop
 

回复 4F zhuzhu1111 的帖子

最好下载冰刃,因为你的进程管理已经无法启用
system在注册表,启动项里要清除掉,如果进程system有多余,要认清,结束进程
bat文件是安装钩子时,exe文件产生的,但是从当前进程没发现dat
最后编辑dfds1253 最后编辑于 2008-09-23 19:19:29
gototop
 

回复:和大家差不多的症状,已经扫描日志了

各个盘根目录下都没有AUTO.EXE和AUTO.INF

现在已经不出现
开机的时候提示:
应用程序或DLL C:\Windows\System32\HBCT.DLL为无效的Wimdows映像。清再检测一遍您的安装盘。
和  应用程序或DLL C:\Windows\System32\HBQQSG.DLL为无效的Wimdows映像。清再检测一遍您的安装盘。

但任务管理器还是打不开,
我再杀个毒看看,

衷心感谢各位大侠的帮助,我自己也从中学到不少东西,
gototop
 

回复:和大家差不多的症状,已经扫描日志了

AdWare.Win32.Undef.dik 在 C:\Windows\System32\borpz.bat>>$[32]\18.exe>>aspr.ske.2.x解压缩后杀毒
Trojan.PSW.Win32.GameOL.qls在C:\Windows\System32\System.exe重启后删除
这两个还在,
新出现的Trojan.DL.Win32.Mnless.beh删除成功
冰刃已经下载了,但介绍好可怕啊,有点不敢用,现在有些为难了,
我毕竟是个菜鸟啊,谁有耐心帮我搞搞啊
最后编辑zhuzhu1111 最后编辑于 2008-09-23 19:47:07
gototop
 

回复: 和大家差不多的症状,已经扫描日志了

该用户帖子内容已被屏蔽
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT