APPINIT被修改  出现 HBMHLY.DLL等HB开头的程序  还出现svchost.exe应用程序错误  应用程序发生异常 unknown software exception (oxooooofd) 位置为0x5fde8809
下面是扫描日志

附件: SREngLOG.log (2009-1-12 19:54:16, 67.46 K)
该附件被下载次数 154

高手帮忙看看  最好彻底清除了 被这个烦了很久了

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)

是木马群
中毒还玩魔兽？号被盗是肯定的了。。。。。。。。


1.建议使用XDelBox删除以下文件： Xdelbox1.8下载
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


c:\windows\system32\a.exe
c:\docume~1\jayxujie\locals~1\temp\wmsetup.dll
c:\windows\system32\system.exe
c:\windows\system32\hbchibi.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\hbshq.dll
c:\windows\system32\hbtw2.dll
c:\windows\system32\hbwulin2.dll
c:\windows\system32\hbzhuxian.dll
c:\windows\system32\abakllpg.dll
c:\windows\system32\daafjmbc.dll
c:\windows\system32\dhdjgnhe.dll
c:\windows\system32\djooifea.dll
c:\windows\system32\eenmbhme.dll
c:\windows\system32\eobegmpa.dll
c:\windows\system32\fkldbabk.dll
c:\windows\system32\gbgknhlj.dll
c:\windows\system32\hcdbhhpk.dll
c:\windows\system32\ibkfhklh.dll
c:\windows\system32\imgpkffi.dll
c:\windows\system32\kfefjdnk.dll
c:\windows\system32\lmbofbao.dll
c:\windows\system32\mfkkceon.dll
c:\windows\system32\mknimdfg.dll
c:\windows\system32\plkcdnjh.dll
c:\windows\system32\diegeajj.dll
c:\docume~1\jayxujie\locals~1\temp\nse65.tmp\installoptions.dll


2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[F45DBAB4]    <C:\WINDOWS\system32\fkldbabk.dll>
[0B047153]    <C:\WINDOWS\system32\gbgknhlj.dll>
[D3882FEA]    <C:\WINDOWS\system32\djooifea.dll>
[D2E0EA33]    <C:\WINDOWS\system32\diegeajj.dll>
[D1D3071E]    <C:\WINDOWS\system32\dhdjgnhe.dll>
[4FEF3D74]    <C:\WINDOWS\system32\kfefjdnk.dll>
[954CD731]    <C:\WINDOWS\system32\plkcdnjh.dll>
[DAAF36BC]    <C:\WINDOWS\system32\daafjmbc.dll>
[6F44CE87]    <C:\WINDOWS\system32\mfkkceon.dll>
[26094FF2]    <C:\WINDOWS\system32\imgpkffi.dll>
[2B4F1451]    <C:\WINDOWS\system32\ibkfhklh.dll>
[1CDB1194]    <C:\WINDOWS\system32\hcdbhhpk.dll>
[ABA45590]    <C:\WINDOWS\system32\abakllpg.dll>
[E8BE069A]    <C:\WINDOWS\system32\eobegmpa.dll>
[56B8FBA8]    <C:\WINDOWS\system32\lmbofbao.dll>
[EE76B16E]    <C:\WINDOWS\system32\eenmbhme.dll>
[64726DF0]    <C:\WINDOWS\system32\mknimdfg.dll>
[{F45DBAB4-4C3F-4CFC-A969-4F85D7BBBBA4}]    <C:\WINDOWS\system32\fkldbabk.dll>
[{0B047153-C0F6-46B1-84C6-5C17532D1EC1}]    <C:\WINDOWS\system32\gbgknhlj.dll>
[{D3882FEA-F379-4CEC-8C01-B14290C3C073}]    <C:\WINDOWS\system32\djooifea.dll>
[{D2E0EA33-6C44-4B82-B450-1EA125DE53F7}]    <C:\WINDOWS\system32\diegeajj.dll>
[{D1D3071E-9D83-43B3-A9FD-804D6D91692D}]    <C:\WINDOWS\system32\dhdjgnhe.dll>
[{4FEF3D74-AABC-41A0-BFDC-6F0547A15C42}]    <C:\WINDOWS\system32\kfefjdnk.dll>
[{954CD731-0B01-463B-9DB4-B51471BE9423}]    <C:\WINDOWS\system32\plkcdnjh.dll>
[{DAAF36BC-0C34-4FEA-AACE-A1E6341FFD5E}]    <C:\WINDOWS\system32\daafjmbc.dll>
[{6F44CE87-3B63-4662-9A14-1E89E790CA87}]    <C:\WINDOWS\system32\mfkkceon.dll>
[{26094FF2-3DEE-4652-936C-DC0AB2455D71}]    <C:\WINDOWS\system32\imgpkffi.dll>
[{2B4F1451-80D4-42E7-976D-B0895EEBA2E6}]    <C:\WINDOWS\system32\ibkfhklh.dll>
[{1CDB1194-9A83-4CEB-8B67-0B81A9EDE1F1}]    <C:\WINDOWS\system32\hcdbhhpk.dll>
[{ABA45590-AFDD-4EFE-824E-5254E22DDA19}]    <C:\WINDOWS\system32\abakllpg.dll>
[{E8BE069A-C7F4-420F-A2F2-D299FA99ECFF}]    <C:\WINDOWS\system32\eobegmpa.dll>
[{56B8FBA8-155B-4CDF-BA30-BB1182AB4E11}]    <C:\WINDOWS\system32\lmbofbao.dll>
[{EE76B16E-B950-4ED8-8974-C4BFBC7D3D39}]    <C:\WINDOWS\system32\eenmbhme.dll>
[{64726DF0-0FC0-4E48-A93C-6D20BDE94B77}]    <C:\WINDOWS\system32\mknimdfg.dll>
注意该项[AppInit_DLLs]修改：把<HBmhly.dll,mknimdfg.dll,eenmbhme.dll,lmbofbao.dll,eobegmpa.dll,abakllpg.dll,hcdbhhpk.dll,ibkfhklh.dll,imgpkffi.dll,HBCHIBI.dll,mfkkceon.dll,daafjmbc.dll,plkcdnjh.dll,kfefjdnk.dll,HBSHQ.dll,HBTW2.dll,dhdjgnhe.dll,HBWULIN2.dll,HBZHUXIAN.dll,diegeajj.dll,djooifea.dll,gbgknhlj.dll,fkldbabk.dll>修改为<>即清空
[HBService32]    <System.exe>

至于
svchost.exe错误，参见：
http://bbs.ikaka.com/showtopic-8563235.aspx

[F45DBAB4]    <C:\WINDOWS\system32\fkldbabk.dll>
[0B047153]    <C:\WINDOWS\system32\gbgknhlj.dll>
[D3882FEA]    <C:\WINDOWS\system32\djooifea.dll>
[D2E0EA33]    <C:\WINDOWS\system32\diegeajj.dll>
[D1D3071E]    <C:\WINDOWS\system32\dhdjgnhe.dll>
[4FEF3D74]    <C:\WINDOWS\system32\kfefjdnk.dll>
[954CD731]    <C:\WINDOWS\system32\plkcdnjh.dll>
[DAAF36BC]    <C:\WINDOWS\system32\daafjmbc.dll>
[6F44CE87]    <C:\WINDOWS\system32\mfkkceon.dll>
[26094FF2]    <C:\WINDOWS\system32\imgpkffi.dll>
[2B4F1451]    <C:\WINDOWS\system32\ibkfhklh.dll>
[1CDB1194]    <C:\WINDOWS\system32\hcdbhhpk.dll>
[ABA45590]    <C:\WINDOWS\system32\abakllpg.dll>
[E8BE069A]    <C:\WINDOWS\system32\eobegmpa.dll>
[56B8FBA8]    <C:\WINDOWS\system32\lmbofbao.dll>
[EE76B16E]    <C:\WINDOWS\system32\eenmbhme.dll>
[64726DF0]    <C:\WINDOWS\system32\mknimdfg.dll>
这些在APPINIT_DLLS里的 删不掉啊

着什么急
先删病毒文件
再删除启动项

HBService32]    <System.exe>
这个要修改还是删除

我的SVCHOST。EXE报错不是 http://bbs.ikaka.com/showtopic-8563235.aspx  里面描述的症状

晕 一定要先删除文件？那我先去XDELBOX删了再来见您啊 少等

把C:\WINDOWS\system32\oleadp.dll打包上传到样本区看下吧 我系统找不到你这个应用扩展程序，百度和GOOGLE关于这资料都是说是关于木马群的，卡饭论坛里说的是蝗虫军团里的东西 虽然它有数字签名。可是最让我感到奇怪的是该进程显示的公司名是Microsoft corporation可是我的系统里搜索不出这个模块，而且百度和GOOGLE也查不出这个模块的系统名，全部资料都说它是毒:default2: :default2: 初步怀疑是伪造系统文件 让前辈研究下呃:default2:

按您的步骤做完了
刚才在DOS删除文件的时候出现不少文件  NOT FOUND
现在是开机新扫描的日志

附件: SREngLOG1.log (2009-1-12 20:25:17, 48.21 K)
该附件被下载次数 142

麻烦再看下 有没什么后遗症  谢谢了


机器中毒我一直知道 魔兽也被盗过1次  不过现在有经验防盗号的了 只是见着这些莫名其妙的病毒不爽 还是删干净了  心里舒服点

附件: oleadp.rar (2009-1-12 20:28:00, 9.84 K)
该附件被下载次数 164

样本区我去找找在哪 也去发个