HBService HBInJect.exe system.exe专杀

  • A+
所属分类:[开发技巧]

   今天公司财务的电脑中招了,同事用360一杀靠 500多个病毒,木马~弄了一下午~结果还是没有弄好~我查了下,进程里面有一个system.exe的非法进程~我结束下~又自动运行了~估计有个服务在背后控制,清理了一下服务发现还是有~执行的exe文件也找到了就是system32里面,就是删除不了~删除了又有了~可能只有在安全模式下才行. 整个症状就是 自动添加 自启动项目,干掉杀毒软件,存在system.exe删除了~又被执行.看来~可能是写到驱动里面去了~或者嵌入到系统服务里面去了

注册表位置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HBService.exe
还自动添加启动项
貌似有人说狂吃进程,要是不这小马这么难搞定我还准备不做处理的,因为我不玩网络游戏,所以几个木马我压根不理它,反正一个木马才占那么几KB甚至更小内存等资源,一个杀软占的资源就远远超过几百个木马
哪个划算明眼人知道
废话不多说
我就想了几种解决方案
第一种安全模式下面用360
结果没搞定
然后再上网查了一下,据说几乎大部分的杀软都被次病毒给删除了
我估计不是哪个杀软厂商暗地里出的病毒吧,只有360没被删除,但360也解决不了此毒
最后我找出一种解决方案

用金山清理专家清除恶意软件,然后用WINDOWS优化大师清除启动项目(或者直接在注册表里面手动删除HBService.exe键值即可)
大功告成!

网络上才流传一种 手动的办法也介绍给大家:

System.exe 卡巴斯基报为 Virus.Win32.Alman.b 是个文件感染型的病毒。所有硬盘的EXE文件都被感染。所幸,卡巴斯基可以“修复”。
不过最好还是用Dr.Web ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

病毒显著特征:任务管理器无法调出(被禁用);系统死慢;系统时间被修改成2003年某月某日。SREng日志中可见异常。大量DLL被插入。
=========

如下为杀毒指南:

杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。

1.用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。
下载地址: http://hi.baidu.com/teyqiu/blog/item/291690efc3f3b5eece1b3e5a.html
C:\WINDOWS\system32\wrm32.dll
C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\mduaey.dll
C:\WINDOWS\system32\eskisl.dll
C:\WINDOWS\system32\lensch.dll
C:\WINDOWS\system32\micsus.dll
C:\WINDOWS\system32\stepps.dll
C:\WINDOWS\system32\johandy.dll
C:\WINDOWS\system32\jolndyo.dll
C:\WINDOWS\system32\aotoppt.dll
C:\WINDOWS\system32\catower.dll
C:\WINDOWS\system32\wllame.dll
C:\WINDOWS\system32\pewire.dll
C:\WINDOWS\system32\comboaus.dll
C:\WINDOWS\system32\ddserh.dll
C:\WINDOWS\system32\jhfrxz.dll
C:\WINDOWS\system32\fmcvxy.dll
C:\WINDOWS\system32\zsdgff.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\fsrgeb.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\rmqlgvef.dll
C:\WINDOWS\system32\byspfvrb.dll
C:\WINDOWS\system32\vtzlwsqo.dll
C:\WINDOWS\system32\sqregppt.dll
C:\WINDOWS\system32\ouagimgy.dll
C:\WINDOWS\system32\pyahigrl.dll
C:\WINDOWS\system32\ithvzkqx.dll
C:\WINDOWS\system32\jmsdubkb.dll
C:\WINDOWS\system32\wllgiwga.dll
C:\WINDOWS\system32\azffsrby.dll
C:\WINDOWS\system32\qkzbtbph.dll
C:\WINDOWS\system32\umtgmcir.dll
C:\WINDOWS\sysocmgr.dll
C:\WINDOWS\system32\DRIVERS\HBKernel32.sys
C:\WINDOWS\system32\drivers\eth8023.sys

2.重启计算机后,用工具 SREng 进行如下的操作:
下载及其使用方法看下面的链接【有图解】,看懂再下手操作!
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html

==================================
启动项目 -->注册表 的如下项删除

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <HBService32><System.exe> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><mduaey.dll eskisl.dll lensch.dll micsus.dll stepps.dll johandy.dll jolndyo.dll aotoppt.dll catower.dll wllame.dll pewire.dll comboaus.dll> [N/A] 此项不是删除,是编辑为空。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll> []
    <{7914E0AA-ECCB-4311-B584-C49538227824}><C:\WINDOWS\system32\jhfrxz.dll> []
    <{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\WINDOWS\system32\fmcvxy.dll> []
    <{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}><C:\WINDOWS\system32\zsdgff.dll> []
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
    <{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}><C:\WINDOWS\system32\fsrgeb.dll> []
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll> []
    <{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}><C:\WINDOWS\system32\rmqlgvef.dll> []
    <{65056902-6E7B-4bd7-95BA-688DB5FA5BEB}><C:\WINDOWS\system32\byspfvrb.dll> []
    <{EB9660D8-E1CD-4ff0-B4A9-00CD907F928A}><C:\WINDOWS\system32\vtzlwsqo.dll> []
    <{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\sqregppt.dll> []
    <{D1CC9DC6-F0BC-40fc-9552-E497B05E05B8}><C:\WINDOWS\system32\ouagimgy.dll> []
    <{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}><C:\WINDOWS\system32\pyahigrl.dll> []
    <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\ithvzkqx.dll> []
    <{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}><C:\WINDOWS\system32\jmsdubkb.dll> []
    <{F0930A2F-D971-4828-8209-B7DFD266ED44}><C:\WINDOWS\system32\wllgiwga.dll> []
    <{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}><C:\WINDOWS\system32\azffsrby.dll> []
    <{434FA69C-5F0A-42e1-82B8-10AF2C8E53C6}><C:\WINDOWS\system32\qkzbtbph.dll> []
    <{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\system32\umtgmcir.dll> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <sysocmgr><C:\WINDOWS\sysocmgr.dll> [Microsoft Corporation]
    <rmqlgvef.dll><C:\WINDOWS\system32\rmqlgvef.dll> []
    <byspfvrb.dll><C:\WINDOWS\system32\byspfvrb.dll> []
    <vtzlwsqo.dll><C:\WINDOWS\system32\vtzlwsqo.dll> []
    <sqregppt.dll><C:\WINDOWS\system32\sqregppt.dll> []
&nb
sp;   <ouagimgy.dll><C:\WINDOWS\system32\ouagimgy.dll> []
    <pyahigrl.dll><C:\WINDOWS\system32\pyahigrl.dll> []
    <ithvzkqx.dll><C:\WINDOWS\system32\ithvzkqx.dll> []
    <jmsdubkb.dll><C:\WINDOWS\system32\jmsdubkb.dll> []
    <wllgiwga.dll><C:\WINDOWS\system32\wllgiwga.dll> []
    <azffsrby.dll><C:\WINDOWS\system32\azffsrby.dll> []
    <qkzbtbph.dll><C:\WINDOWS\system32\qkzbtbph.dll> []
    <umtgmcir.dll><C:\WINDOWS\system32\umtgmcir.dll> []

==================================
启动项目 -->服务-->驱动程序的如下项删除
[eth8023 / eth8023][Stopped/Manual Start]
<\SystemRoot\system32\drivers\eth8023.sys><N/A>

[HBKernel32 Driver / HBKernel32][Running/Boot Start]
<\SystemRoot\system32\DRIVERS\HBKernel32.sys><N/A>

杀毒成功后再修复Winsock

Winsock 提供者
MSAPI Tcpip [TCP/IP]
    C:\WINDOWS\system32\wrm32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    C:\WINDOWS\system32\wrm32.dll(, N/A)

~~~~~最好能用通用病毒杀灭机 解决。 >> http://bbs.kingzoo.com/thread-16838-1-1.html

~~~~~~~~~~还可以考虑用专杀

金山专杀 专杀工具下载地址:
http://bbs.duba.net/attachment.php?aid=16215974

 使用专杀 KillHBKernel32_Troj.rar (122.31 KB)
下载 >>http://bbs.kingzoo.com/thread-18917-1-1.html

2.关闭IE用下面的工具全选,清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe

3.下载windows清理助手V2.6清理一遍,记得之前更新好
http://www.arswp.com/download/arswp2/arswp2.zip

4.最后用SRENG(http://www.kztechs.com/sreng/download.html)再扫描一份日志上来,记得勾选“检查进程的数字签名”。

有求助日志,可发来到http://bbs.kingzoo.com

其他背景信息

http://hi.baidu.com/coderui/blog/item/4404cf8b798dd7799e2fb40d.html
江民 coderui

英文名称:TrojanSpy.MultiFirst.d
中文名称:“魔笛手”变种d
病毒长度:3572字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:dd62c474ee9c417466cd55adcaf63fd2
特征描述:
   TrojanSpy.MultiFirst.d“魔笛手”变种d是“魔笛手”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“魔 笛手”变种d隐藏在被感染计算机系统的%SystemRoot%\system32\目录下,文件名称为“System.exe”。在后台创建一个名称为 “HBInjectMutex”的互斥体,防止病毒自身运行多个实例。安装运行恶意驱动程序“HBKernel32.sys”,达到自我保护的目的。“魔 笛手”变种d会在被感染计算机系统的后台调用运行其它病毒主程序释放出来的恶意DLL组件“HBmhly.dll”、“HB1000Y.dll”、 “HBWOOOL.dll”、“HBXY2.dll”、“HBJXSJ.dll”、“HBSO2.dll”、“HBFS2.dll”、 “HBXY3.dll”、“HBSHQ.dll”、“HBFY.dll”、“HBWULIN2.dll”、“HBW2I.dll”、 “HBKDXY.dll”、“HBWORLD2.dll”、“HBASKTAO.dll”、“HBZHUXIAN.dll”、“HBWOW.dll”、 “HBZERO.dll”、“HBBO.dll”、“HBCONQUER.dll”、“HBSOUL.dll”、“HBCHIBI.dll”、 “HBDNF.dll”、“HBWARLORDS.dll”、“HBTL.dll”、“HBPICKCHINA.dll”、“HBCT.dll”、 “HBGC.dll”、“HBHM.dll”、“HBHX2.dll”、“HBQQHX.dll”、“HBTW2.dll”、“HBQQSG.dll”、 “HBQQFFO.dll”、“HBZT.dll”、“HBMIR2.dll”、“HBRXJH.dll”、“HBYY.dll”、 “HBMXD.dll”、“HBSQ.dll”、“HBTJ.dll”、“HBFHZL.dll”、“HBWLQX.dll”、 “HBLYFX.dll”、“HBR2.dll”、“HBCHD.dll”、“HBTZ.dll”、“HBQQXX.dll”、“HBWD.dll”、 “HBZG.dll”、“HBPPBL.dll”、“HBXMJ.dll”、“HBJTLQ.dll”、“HBQJSJ.dll”、等,这些恶意DLL组 件均为网络游戏盗号木马。运行后,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技 术盗取玩家多款网络游戏的账号、密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上 (地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来不同程度的损失。“魔笛手”变种d会通过在被感染计算机系统注册 表启动项中添加新键的方式来实现木马开机自启动。
 

我这里再上传一个~大家不想看这么多的~直接下就行了~

KillHBKernel32_Troj.rar

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
广告也精彩
avatar
广告也精彩

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: