瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 伪linkinfo恶意程序 自己折腾了很久也没办法搞定……

12   1  /  2  页   跳转

[求助] 伪linkinfo恶意程序 自己折腾了很久也没办法搞定……

伪linkinfo恶意程序 自己折腾了很久也没办法搞定……

伪linkinfo恶意程序 自己折腾了很久也没办法搞定……
我试了网上的的很多方法,包括自己也想了很多,但是功力依然不够……曾有那么半个小时的时间我以为成功了,因为360提示没有恶评软件了,结果没多久就又冒出来了……差点没气死我……

求高人相助!


扫描附件

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

附件附件:

下载次数:207
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-26 19:10:58
描述:rar

附件附件:

下载次数:200
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-26 19:10:58
描述:rar

分享到:
gototop
 

回复:伪linkinfo恶意程序 自己折腾了很久也没办法搞定……

C:\WINDOWS\system32\c56bcc1.sys
C:\WINDOWS\system32\8566F82E.dll
C:\WINDOWS\system32\HBCHIBI.dll
C:\WINDOWS\system32\HBSO2.dll
C:\WINDOWS\system32\HBmhly.dll
C:\WINDOWS\system32\HBQQSG.dll
C:\WINDOWS\system32\HBFY.dll
C:\WINDOWS\system32\HBQQFFO.dll
C:\WINDOWS\system32\System.exe
提交到这里来,或者提交给瑞星,地址如下:http://mailcenter.rising.com.cn/index.shtml
使用卡卡助手-高级工具-系统修复,修改hosts文件。
gototop
 

回复 1F aegean 的帖子

被插进程及进程中的病毒模块:

[PID: 1716 / Administrator][C:\WINDOWS\system32\Ati2evxx.exe]  [ATI Technologies Inc., 6.14.10.4115]
    [C:\WINDOWS\system32\8566F82E.dll]  [N/A, ]
[PID: 1816 / Administrator][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
    [C:\WINDOWS\system32\8566F82E.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBCHIBI.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBSO2.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBmhly.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBQQSG.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBFY.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBQQFFO.dll]  [N/A, ]
[PID: 1196 / Administrator][C:\WINDOWS\system32\tp4mon.exe]  [IBM Corporation, 6.03 (xpsp.080413-2108)]
    [C:\WINDOWS\system32\8566F82E.dll]  [N/A, ]
[PID: 1724 / Administrator][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
    [C:\WINDOWS\system32\8566F82E.dll]  [N/A, ]
[PID: 1824 / SYSTEM][C:\WINDOWS\system32\wuauclt.exe]  [Microsoft Corporation, 7.2.6001.784 (winmain_oob/wu_wsuswlc(wmbla).080718-1904)]
    [C:\WINDOWS\system32\HBmhly.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBSO2.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBCHIBI.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBQQSG.dll]  [N/A, ]
[PID: 2112 / Administrator][C:\WINDOWS\system32\rundll32.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
    [C:\WINDOWS\system32\HBQQSG.dll]  [N/A, ]
    [C:\WINDOWS\system32\8566F82E.dll]  [N/A, ]
[PID: 2264 / Administrator][C:\WINDOWS\system32\rundll32.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
    [C:\WINDOWS\system32\HBQQSG.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBQQFFO.dll]  [N/A, ]
    [C:\WINDOWS\system32\8566F82E.dll]  [N/A, ]
[PID: 1432 / Administrator][D:\Program Files\SRENG\SREngLdr.EXE]  [Smallfrogs Studio, 2.6.12.1018]
    [C:\WINDOWS\system32\HBmhly.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBSO2.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBCHIBI.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBQQSG.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBQQFFO.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBFY.dll]  [N/A, ]
[PID: 2892 / Administrator][D:\Program Files\SRENG\SRE4296ba19.EXE]  [Smallfrogs Studio, 2.6.12.1018]
    [C:\WINDOWS\system32\HBmhly.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBSO2.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBFY.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBCHIBI.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBQQSG.dll]  [N/A, ]
    [C:\WINDOWS\system32\HBQQFFO.dll]  [N/A, ]
    [C:\WINDOWS\system32\8566F82E.dll]  [N/A, ]
————————————————————

建议用IceSword手工杀毒:
1、先禁止进程创建。
2、再结束被插进程(根据上面日志中的PID很容易确认被插进程)。
3、强制删除病毒文件(上述日志显示的进程中的那些dll)。
4、强制删除C:\WINDOWS\system32\c56bcc1.sys和C:\WINDOWS\system32\System.exe。
5、删除下列注册表项:
(1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run分支下的:
HBService32
(2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支下的:
{8566F82E-03A4-416E-AEAC-66600D8881F1}
(3)HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES分支下的:
c56bcc1
本帖被评分 1 次
最后编辑baohe 最后编辑于 2008-09-26 19:29:08
gototop
 

回复:伪linkinfo恶意程序 自己折腾了很久也没办法搞定……

饿……我以前都是用360结束进程的,这会儿连360都打不开了,然后IceSword是第一次用,然后如果结束进程这块该怎么操作……
谢谢哈 问这么白痴的问题
gototop
 

回复: 伪linkinfo恶意程序 自己折腾了很久也没办法搞定……

晕死……刚才在安全模式下打开IceSword,巡视了一边发现不怎么会操作,然后上线来发帖子 ,结果在正常模式下面打不开了……

截了个图 但是没办法上传 也不是特别重要的  就是打开设备失败,代码1073741762
gototop
 

回复:伪linkinfo恶意程序 自己折腾了很久也没办法搞定……

进程禁止打开,重启
gototop
 

回复:伪linkinfo恶意程序 自己折腾了很久也没办法搞定……

删除完了吧
gototop
 

回复:伪linkinfo恶意程序 自己折腾了很久也没办法搞定……



引用:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><HBmhly.dll,HBSO2.dll,HBCHIBI.dll,HBQQSG.dll,HBQQFFO.dll,HBFY.dll>  []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <sysocmgr><C:\WINDOWS\sysocmgr.dll>  [Microsoft Corporation]

[PID: 2112 / Administrator][C:\WINDOWS\system32\rundll32.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]

    [C:\WINDOWS\sysocmgr.dll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]



补充一些:
编辑<AppInit_DLLs>的值为空

删除文件:
C:\WINDOWS\sysocmgr.dll

顺便搜索下是否存在C:\WINDOWS\system32\explore.exe  有就删除
不认识我没关系,因为我也不认识你。
gototop
 

回复: 伪linkinfo恶意程序 自己折腾了很久也没办法搞定……



引用:
原帖由 aegean 于 2008-9-26 20:12:00 发表
饿……我以前都是用360结束进程的,这会儿连360都打不开了,然后IceSword是第一次用,然后如果结束进程这块该怎么操作……
谢谢哈 问这么白痴的问题 


饿……我是想问如何结束进程……用什么结束……
gototop
 

回复:伪linkinfo恶意程序 自己折腾了很久也没办法搞定……

瑞星不是有这个专杀吗?下载专杀查杀.http://download.rising.com.cn/zsgj/MagistrKiller.exe
断开网查杀.暂时不要运行被感染的
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT