SiZhu.exe、HBKernel32.sys、HBTL.dll、HBmhly.dll、llwzjy080923.exe等病毒查杀

时间:2008-10-06 08:03:46   来源:  作者:  点击:次  出处:技术无忧
关键字:病毒 木马

网友发来邮件:
中毒症状:
有SIZHU.EXE,双击打不开硬盘,我用USB专杀工具杀掉了,现在可以打开硬盘,可是用CTRL+ALT+DEL进不了看进程;
我用NOD32,可是安装后不能更新,ID截取工具没用,老说连不上网络,这个杀毒工具根不杀不掉我电脑里的病毒...
还有,我用360顽固专杀,扫描出TROJAN/PAS...及TROJAN/ONL...,可是就是杀不掉,杀了还有...
另外,开了IE,都无法正常上网,老弹出别的网站(多个)...
注:我都是在断网的安全模式下杀,可是还是杀不掉...

经过分析,方法如下:


1、用Unlocker 1.8.5

(可到www.pc51.net下载)删除以下文件,若有些文件没有则跳过:

C:\windows\system\llwzjy080923.exe
C:\windows\system32\SiZhu.exe
System.exe
C:\windows\system32\47E0n4.dll
C:\windows\system32\r2wIqo.dll
C:\WINDOWS\system32\wioabh.dll
C:\Program Files\Common Files\Menapui\naiiwo.exe
C:\WINDOWS\system32\ywmleg.dll
C:\WINDOWS\system32\kmulki.dll
C:\windows\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\BTNetFilter.sys
C:\WINDOWS\system32\drivers\dump_wmimmc.sys
C:\WINDOWS\system32\DRIVERS\epfwtdir.sys
C:\WINDOWS\system32\DRIVERS\HBKernel32.sys
C:\WINDOWS\system32\drivers\nkksl.sys
D:\工具\QQ\npkycryp.sys
C:\WINDOWS\system32\drivers\vozdj.sys
C:\Documents and Settings\All Users\Application Data\Microsoft\Media

Player\obj\wmpobj.sys
C:\windows\system32\HBTL.dll
C:\windows\system32\HBmhly.dll
C:\windows\system32\HBWOW.dll

C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf


2、使用Autorun病毒防御者 正式版进行全盘查杀AUTO病毒。并运行内置工具修复IEFO映象挟持。(如果AUTO病毒较历害,这步也可以放在第1步执行)


3、用SREng删除以下【注册表】项(没有则跳过):

<HBService32><System.exe>

<YhgR><%systemroot%\system32\rundll32.exe %systemroot%\system32

\47E0n4.dll,DllRegisterServer>

<vSaQ><%systemroot%\system32\rundll32.exe %systemroot%\system32

\r2wIqo.dll,DllRegisterServer>


<AppInit_DLLs><HBWOW.dll,HBTL.dll,HBmhly.dll>
注意此项:修复<AppInit_DLLs> 不要把<AppInit_DLLs>删除掉,是将以下此项

中的<HBWOW.dll,HBTL.dll,HBmhly.dll>全部删除,不包括<>


<IFEO[360hotfix.exe]>ntsd -d
<IFEO[360safebox.exe]>ntsd -d
<IFEO[AntiArp.exe]>ntsd -d
<IFEO[arvmon.exe]>ntsd -d
<IFEO[AutoGuarder.exe]>ntsd -d
<IFEO[findt2005.exe]>ntsd -d
<IFEO[IsHelp.exe]>ntsd -d
<IFEO[killhidepid.exe]>ntsd -d
<IFEO[kvfw.exe]>ntsd -d
<IFEO[KVScan.kxp]>ntsd -d
<IFEO[KvXP_1.kxp]>ntsd -d
<IFEO[RavCopy.exe]>ntsd -d
<IFEO[RavStore.exe]>ntsd -d
<IFEO[ravt08.exe]>ntsd -d
<IFEO[rfwolusr.exe]>ntsd -d
<IFEO[safebank.exe]>ntsd -d
<IFEO[safeboxTray.exe]>ntsd -d
<IFEO[smartassistant.exe]>ntsd -d
<IFEO[SREngPS.exe]>ntsd -d
<IFEO[syscheck.exe]>ntsd -d
<IFEO[Syscheck2.exe]>ntsd -d
<IFEO[ToolsUp.exe]>ntsd -d
<IFEO[修复工具.exe]>ntsd -d
................


4、使用SRENG,启动项目,服务,【win32服务应用程序】,禁用以下项(选中后,在启动类型中选择Disabled,修改启动类型,最后点击设置即可。)

[BlueSoleil Hid Service / BlueSoleil Hid Service]
[hevhee / hevhee]
[Local Access Connection Application Program Interface / lasapi]
[Windows Time / W32Time]
[Windows Times / W32Times]

5、使用SRENG,启动项目,服务,【驱动程序】,禁用以下项(选中后,在启动类型中选择Disabled,修改启动类型,最后点击设置即可。)

[acpidisk / acpidisk]
[Bluetooth HID Enumerator / BTHidEnum]
[Bluetooth Network Filter / BTNetFilter]
[dump_wmimmc / dump_wmimmc]
[epfwtdir / epfwtdir]
[HBKernel32 Driver / HBKernel32]
[nkksl / nkksl]
[npkycryp / npkycryp]
[vozdj / vozdj]
[wmpobj / wmpobj]

6、重启电脑可重复执行

Empire CMS,phome.net

文章评论

共有 0 位网友发表了评论 此处只显示部分留言 点击查看完整评论页面