梦影 2008-10-26 08:56
金山HBKernel32.sys,system.exe专杀工具
手工处理这个毒真的很麻烦,乱七八糟的文件特别多,大家可以看看这个帖子.
[url=http://www.ratebbs.com/thread-3141-1-1.html][color=blue]难得遇一次牛逼病毒!忘高手指点一下谢谢[/color][/url]
使用专杀前请先关闭IE,QQ等应用程序.
运行专杀,杀完后按提示重启,然后清理临时文件与IE临时文件夹中的所有文件.
然后使用sreng等工具修复剩余部分. (可结合windows清理助手) 记得修复hosts文件至默认状态或以前你自己设置的.
上一步如果不是很清楚,可用[url=http://www.ratebbs.com/thread-1030-1-1.html]sreng[/url]扫一份日志发到[url=http://www.ratebbs.com/forum-12-1.html]电脑医院版[/url].
2008年11月12日补充:由于新病毒感染了userinit.exe和rpcss.dll两个系统文件,导致很多网友杀了后又反复中.按上面的操作完成后,请再运行第二个(适用于XP SP2,其他系统请选择第三个或第四个)附件中的Rpcss.reg,以修复被破坏的服务,然后将附件中的userinit.exe和rpcss.dll复制到系统目录下替换被感染的文件.
注意:第一个附件的为此病毒的专杀.
第二个附件中的文件只适用于XP SP2
第三个附件中的文件只适用于XP SP3
第四个附件中的文件适用于2000系统
请下载正确的版本.
fish的手工处理方法:[url=http://www.ratebbs.com/thread-3524-1-3.html]http://www.ratebbs.com/thread-3524-1-3.html[/url]
全手工处理图解教程:[url=http://www.ratebbs.com/thread-3794-1-2.html]http://www.ratebbs.com/thread-3794-1-2.html[/url]
[[i] 本帖最后由 梦影 于 2008-12-23 13:51 编辑 [/i]]
Lucene 2008-10-26 08:58
好像上次是谁遇到过这个病毒的?
看来怎么这么眼熟?
fish 2008-10-26 08:59
:0) 昨天在崔老师的博客看过,这么快就传上来啦~
[url=http://hi.baidu.com/teyqiu/blog/item/28ca7b89b5f9f9b50f2444d2.html]http://hi.baidu.com/teyqiu/blog/ ... f9f9b50f2444d2.html[/url]
[url=http://hi.baidu.com/teyqiu/blog/item/c7f090525309dd080cf3e35e.html]http://hi.baidu.com/teyqiu/blog/item/c7f090525309dd080cf3e35e.html[/url]
xiadao_81 2008-10-29 22:16
有空装个虚机,帮你试试!
mebtx111 2008-11-7 03:49
vsffsfsfsfs
nxlhb 2008-11-9 19:26
顶!顶!顶!顶!顶!顶!顶!
fxl11171413 2008-11-9 20:04
我现在也是中的这病毒。。重装,重启三分钟后。又中。。待解决
lishuai 2008-11-9 21:53
好,好,好.谢谢.
jjunjie18 2008-11-10 21:19
:39) duoxie
mxhjt 2008-11-11 21:20
我的机子也是中了这一病毒,上网下不了东西,杀毒软件也不起作用,安全模式也不行,重装但没有光驱和软驱,请问怎么办呀!还有GHOST工具也有问题,各位高手帮帮我,谢谢了,
梦影 2008-11-11 21:51
[quote]原帖由 [i]fxl11171413[/i] 于 2008-11-10 10:04 发表 [url=http://www.ratebbs.com/redirect.php?goto=findpost&pid=15612&ptid=3208][img]http://www.ratebbs.com/images/common/back.gif[/img][/url]
我现在也是中的这病毒。。重装,重启三分钟后。又中。。待解决 [/quote]
安装补丁:[url]http://www.ratebbs.com/thread-3308-1-1.html[/url]
梦影 2008-11-11 21:54
[quote]原帖由 [i]mxhjt[/i] 于 2008-11-12 11:20 发表 [url=http://www.ratebbs.com/redirect.php?goto=findpost&pid=15734&ptid=3208][img]http://www.ratebbs.com/images/common/back.gif[/img][/url]
我的机子也是中了这一病毒,上网下不了东西,杀毒软件也不起作用,安全模式也不行,重装但没有光驱和软驱,请问怎么办呀!还有GHOST工具也有问题,各位高手帮帮我,谢谢了, [/quote]
点右键,另存为可以下载么? QQ应该还能用吧!?(我直接传给你,QQ号见我的个人资料)
手工处理方法可以参考这个帖子[url=http://www.ratebbs.com/thread-3250-1-1.html]http://www.ratebbs.com/thread-3250-1-1.html[/url]
yhwboss 2008-11-12 22:44
这毒真的太毒了,谢谢楼主分享
我是上周中的这个病毒,
具体症状有:
1.进程管理起里多了system.exe这个进程,及一些莫名奇妙的进程.
2.一旦中毒后,进程管理器无法打开,流行的常用的杀毒软件,自动关闭,无法打开
3.安全模式无法进入,在读取系统文件的过程中通常会蓝屏.即使进入安全模式也不能打开杀毒软件等
4.重装系统后,全盘杀毒,无法查杀该病毒
5.系统重装后,一般使用几个小时后该病毒会复发.能正常使用多久,看运气.
自上周中招后,我以重装了4,5次系统,换了6,7种杀毒软件,无法清除该病毒.
常用杀毒软件更是等于软蛋,一旦该病毒发作,通通报废.
在我试用过的杀毒软件中唯有 木马杀客 在中该病毒的系统环境下可正常运行,并能处理该病毒的部分相关模块和进程,但似乎不能根除.(由于时间关系我只是在今天早上匆匆使用木马杀客进行了一次查杀,系统重启后,该病毒的相关进程在任务管理器中不复存在,但system.exe仍屹立不倒.)
今天在这里看到楼主的帖子,犹如黑暗中见到一盏明灯,下班回家,立即使用,老天保佑,这次能把这该死的毒清除:0) ~~~
天籁友 2008-11-13 05:43
天啊,我今天帮公司的破机装了个新系统,就是慢了一点装杀软,不知怎就中了,(提示说:HBINject32:System.exe图像出错)我晕死了,EXE打不开,杀软也装不上,可能是我从别的机子上的U盘带了过来,谢谢了,有用,我还会回来谢过!:81) :0)
还有的是,安全模式也进不了!那个提示一直关不了!
资源管理器也打不开,不知在那停了进程!
[[i] 本帖最后由 天籁友 于 2008-11-13 19:48 编辑 [/i]]
fish 2008-11-13 05:51
回复 14楼 的帖子
说实话,光专杀没用的,因为它破坏了PRC服务的相关文件,换句话说,你要先把文件换回来。
下面是[url=http://hi.baidu.com/teyqiu/blog/item/25c3b7456a709321cffca38c.html]崔老师博客[/url]查杀方法,这个是我实战过以后觉得最有效的,为了尊重原著,很多我没修改过,所以文中提到的附件你要去他那找
[quote]
来这里看吧 >>> [url]http://bbs.kingzoo.com/thread-20770-1-1.html[/url] 百度无法贴附件。。。
案例分析
以下均是断网环境下。
原LOG 见附件1
这个案例以前见过很多,例如 >> HBKernel32.sys,System.exe,wrm32.dll(virus.win32.alman.b)的清除指南【原创】
http://hi.baidu.com/teyqiu/blog/item/c7f090525309dd080cf3e35e.html
由于感染rpcss.dll这个系统文件,使得处理起来难度较大。
除了利用[url]http://hi.baidu.com/teyqiu/blog/item/28ca7b89b5f9f9b50f2444d2.htmll[/url] 中的方法外,还需要对rpcss.dll进行处理。
在不处理rpcss.dll的情况下,病毒会再次重生。。汗。
[color=#ff0000]本次是这样做的
1、xdelbox或者病毒杀灭机指令干掉rpcss.dll文件
(此步可考虑用下载最新的Dr.Web 大蜘蛛来重命名)
2、禁用或删除RpcSs和DcomLaunch服务
3、系统还能进,只是很多操作无法进行了,所幸还能用copy
将未感染的同系统的rpcss.dll和userint.exe文件拷贝到 c:\windows\system32\ 见附件2
4、将RpcSs和DcomLaunch服务的注册表子项,利用REG文件再次导入注册表 重启电脑。 见附件3
[/color]
处理方案 事实上 我用的是附件2 通用病毒杀灭机指令附件4
【对于本问题的解决方法】具体问题具体分析。如下为本问题的解决方案 请仔细阅读,看懂后操作。
1、关闭系统还原(Windows 2000系统可忽略该步)
2、强制删除如下的文件, 建议采用xdelbox 或者 powerRMV等工具。如果提示某文件不存在,请忽略之继续填入下一个直到完成。
c:\windows\system32\system.exe
c:\windows\system32\csrss.dll
c:\windows\system32\sh05003.dll
c:\windows\system32\sh17011.dll
c:\windows\system32\hbdnf.dll
c:\windows\system32\hbjtlq.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\hbqqsg.dll
c:\windows\system32\hbqqxx.dll
c:\windows\system32\hbtl.dll
c:\windows\system32\hbwd.dll
c:\windows\system32\e0d39066.dll
c:\windows\system32\9ca963ca.dll
c:\windows\system32\08223b03.dll
c:\windows\system32\66afcb56.dll
c:\windows\system32\8566f82e.dll
c:\windows\system32\58ff3024.dll
c:\windows\system32\b3721c07.dll
c:\windows\system32\da63e650.dll
c:\windows\system32\3f21aa0c.dll
c:\windows\system32\4bf9cba3.dll
c:\windows\system32\f2cbfac4.dll
c:\windows\system32\9f684de8.dll
c:\windows\system32\122b901e.dll
c:\windows\system32\f65bdec7.dll
c:\windows\system32\e4814792.dll
c:\windows\system32\ba7edf54.dll
c:\windows\system32\dfec5cb7.dll
c:\windows\system32\d7c79813.dll
c:\windows\system32\43acdcc5.dll
c:\windows\system32\c8ffd223.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\hbjtlq.dll
c:\windows\system32\hbwd.dll
c:\windows\system32\hbtl.dll
c:\windows\system32\hbdnf.dll
c:\windows\system32\hbqqxx.dll
c:\windows\system32\hbqqsg.dll
c:\windows\system32\19b5406.sys
c:\windows\system32\drivers\hbkernel32.sys
c:\windows\system32\d7b49fa.sys
c:\windows\system32\ca99d57.sys
2.删除重启后使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
[{E0D39066-96D7-4891-8527-488ADAFCD60F}] <E0D39066.dll>
[{9CA963CA-107C-4089-B0AB-31380F90D7E3}] <9CA963CA.dll>
[{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}] <08223B03.dll>
[{66AFCB56-FAA9-42D2-8C72-2767A46C7FA8}] <66AFCB56.dll>
[{8566F82E-03A4-416E-AEAC-66600D8881F1}] <8566F82E.dll>
[{58FF3024-8A83-4B1A-88E9-302F47646EEE}] <58FF3024.dll>
[{B3721C07-62B3-411A-9DC7-F5F27E3E21FF}] <B3721C07.dll>
[{DA63E650-537C-4042-87BB-9D19D844680B}] <DA63E650.dll>
[{3F21AA0C-2A9E-4BE9-9083-9E58AB41BA01}] <3F21AA0C.dll>
[{4BF9CBA3-8DEE-41A1-8BDB-FC28D30E949F}] <4BF9CBA3.dll>
[{F2CBFAC4-6FF9-4DE9-BCB1-0F2FA2AA0B4C}] <F2CBFAC4.dll>
[{9F684DE8-3E87-4174-9033-E02A3DFD8B61}] <9F684DE8.dll>
[{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}] <122B901E.dll>
[{F65BDEC7-4BF3-4512-840F-68B166B6D7AC}] <F65BDEC7.dll>
[{E4814792-EFA3-4C20-93D0-8B130A59F9A8}] <E4814792.dll>
[{BA7EDF54-8408-4B21-B351-7B447B344BA4}] <BA7EDF54.dll>
[{DFEC5CB7-E2AA-4B0A-BEB3-D140E59ED53A}] <DFEC5CB7.dll>
[{D7C79813-9233-4AE0-832C-99B2E8019673}] <D7C79813.dll>
[{43ACDCC5-9009-4AF4-B80A-93BC656EF298}] <43ACDCC5.dll>
[{C8FFD223-C0FB-40C5-94A0-FD7891AC18E9}] <C8FFD223.dll>
注意该项[AppInit_DLLs]修改:把<HBmhly.dll,HBJTLQ.dll,HBWD.dll,HBTL.dll,HBDNF.dll,HBQQXX.dll,HBQQSG.dll>修改为<>即清空
[HBService32] <System.exe>
[IFEO[CCenter.exe]] <svchost.exe>
[IFEO[RfwMain.exe]] <svchost.exe>
[IFEO[rfwsrv.exe]] <svchost.exe>
[IFEO[rfwstub.exe]] <svchost.exe>
[IFEO[Thunder5.exe]] <svchost.exe>
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Remote Procedure Call (RPC) / RpcSs] <C:\WINDOWS\system32\svchost -k rpcss-->c:\windows\system32\rpcss.dll>
[DCOM Server Process Launcher / DcomLaunch] <C:\WINDOWS\system32\svchost -kDcomLaunch-->%SystemRoot%\system32\rpcss.dll>
启动项目 -- 服务-- 驱动程序之如下项禁用:
[19b5406 / 19b5406] <\??\C:\WINDOWS\system32\19b5406.sys>
[HBKernel32 Driver / HBKernel32] <\SystemRoot\system32\drivers\HBKernel32.sys>
[d7b49fa / d7b49fa] <\??\C:\WINDOWS\system32\d7b49fa.sys>
[ca99d57 / ca99d57] <\??\C:\WINDOWS\system32\ca99d57.sys>
关于通用病毒杀灭机的用法 可参考我以前写过的文 [url]http://hi.baidu.com/teyqiu[/url]
[/quote]
梦影 2008-11-13 06:53
回复 15楼 的帖子
我把各系统中正常的userinit.exe和rpcss.dll文件传上来了. 修复服务直接导入里面的rpcss.reg就可以了. 前提是先使用专杀清理掉system.exe及其他的一些DLL与SYS文件.重启后使用任务管理器结束掉userini.exe(如果存在),再替换文件与修复服务,期间不要连网.
fish 2008-11-13 08:34
回复 16楼 的帖子
本次是这样做的
1、xdelbox或者病毒杀灭机指令干掉rpcss.dll文件
(此步可考虑用下载最新的Dr.Web 大蜘蛛来重命名)
2、禁用或删除RpcSs和DcomLaunch服务
3、系统还能进,只是很多操作无法进行了,所幸还能用copy
将未感染的同系统的rpcss.dll和userint.exe文件拷贝到 c:\windows\system32\ 见附件2
4、将RpcSs和DcomLaunch服务的注册表子项,利用REG文件再次导入注册表 重启电脑。
:32) 2、禁用或删除RpcSs和DcomLaunch服务 为什么要做这一步,不是很懂哦
yyjpcx 2008-11-14 02:35
谢谢 很适用!~~~~~
zjliuqf 2008-11-14 21:02
z这个病毒浪费了我好多时间,我日
ayong 2008-11-15 09:27
很是激烈的讨论啊
还没能和你们到一个水平
只能慢慢学习
zz6668713 2008-11-15 10:21
ghfghfgh
gfhfghgfhgfhghfghgfhgfh
fish758 2008-11-15 10:34
好
很好,我看看先
mfkigekevin 2008-11-15 19:04
快帮帮我啊 我的也汇总了
快帮帮我啊 我的也汇总了
wbzx8888 2008-11-15 22:02
顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶
hnczwml 2008-11-16 16:54
aaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaa
leiteer 2008-11-16 23:28
wanderful thank you
haha 2008-11-17 06:37
fdsafdsa
lei 2008-11-17 18:28
不错不错,我就是中了头奖:36)
lei 2008-11-17 18:29
不错不错,我就是中了头奖:36)
teyqiu 2008-11-19 02:30
[quote]原帖由 [i]fish[/i] 于 2008-11-13 22:34 发表 [url=http://www.ratebbs.com/redirect.php?goto=findpost&pid=15838&ptid=3208][img]http://www.ratebbs.com/images/common/back.gif[/img][/url]
本次是这样做的
1、xdelbox或者病毒杀灭机指令干掉rpcss.dll文件
(此步可考虑用下载最新的Dr.Web 大蜘蛛来重命名)
2、禁用或删除RpcSs和DcomLaunch服务
3、系统还能进,只是很多操作无法进行了,所幸还能用 ... [/quote]
不禁用 你换下文件看看?呵呵。。必须禁用后才能替换文件。:81)
崔衍渠