【原创】关于lfrmewrk.exe,hbcmd.dll的处理(测试成功) bbs.ikaka.com

newcenturymoon - 2007-4-14 18:58:00

最近很多人出现了hbcmd.dll屡删不掉的问题
之前也写过这个东西的处理不过当时没有发现有驱动保护经网友提供信息知道了该流氓软件有驱动保护
但尝试了很多方法如 sreng删除驱动和服务－无效
Xdelbox 重启删除文件并配合sreng删除注册表项目－无效
最后在小聪的指导下试了以下方法并且测试有效在此感谢轩辕小聪的指点

具体解决办法如下

安全模式下
打开Icesword
展开“注册表”：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
分别找到如下文件夹EmonSrv，usb8028，usb8028x

右击删除他们
然后在Icesword上面的菜单栏中点击文件重启并监视
重启后
用Icesword 强制删除
C:\WINDOWS\system32\lfrmewrk.exe
C:\WINDOWS\system32\drivers\usb8028x.sys
C:\WINDOWS\system32\drivers\usb8028.sys
C:\WINDOWS\system32\hbcmd.dll
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\bofang.dll

打开sreng

在"系统修复”浏览器加载项目中选中
[CPPIE Class]
{C6844939-C324-41E0-84D0-D42F8DA5EBAD} <C:\WINDOWS\system32\hbcmd.dll, TODO: <公司名>>
[CPPIE Class]
{C6844939-C324-41E0-84D0-D42F8DA5EBAD} <C:\WINDOWS\system32\hbcmd.dll, TODO: <公司名>>
然后点击删除所选内容

此病毒操作步骤之关键是冰刃的重启并监视

一定不能在开始那里重启否则操作会无效

Icesword下载地址 http://www.onlinedown.net/soft/4523.htm#download

天月来了 - 2007-4-14 20:09:00

变到今天，不知还要怎么变，幸好还有个冰刃。

要不然可能都得去强行关机来对付了。

修罗撒旦 - 2007-4-15 1:31:00

是HBCMD.DLL

newcenturymoon - 2007-4-15 1:32:00

引用:

【修罗撒旦的贴子】是HBCMD.DLL

………………

改完了谢谢

火影忍者 - 2007-4-15 6:56:00

引用:

【newcenturymoon的贴子】
改完了谢谢
………………

真的改完了吗?

天月来了 - 2007-4-15 12:55:00

网上还有几个不同的，但是都可以在禁止进程创建的情况下，删除这些东西。同时还能一样有重启监控，或重启阻止的小工具。

不知能否对付这玩意。

zhangjingyuan - 2007-4-15 14:07:00

我试了楼主的方法，可是还是没能彻底删除这两个文件，重启进入系统它们还在啊。

zhangjingyuan - 2007-4-15 14:12:00

有人能出来解释一下嘛！！

zexee - 2007-4-15 15:41:00

楼主啊，杀毒怎么能想当然呢，，，没见过病毒就能想出杀他的办法？

这个病毒非常诡异，删文件没有任何提示失败，但就是删不掉。

有一个usb8028.sys的驱动保护着，还没有人给出可行的杀毒方案。

病毒样本发你邮箱了。

yqlikaka - 2007-4-15 15:43:00

还有2个驱动USB8028.SYS USB8028X.SYS,关于BOFANG.DLL可以单独删除
其实是个恶意软件CPPIE CLASS,希望KAKA升级后可以处理,目前,我用过KAKA,SUPERRABBIT,不能清除,360可以清楚

天月来了 - 2007-4-15 16:15:00

哇！！

真的吗？

学了哦。

再去看看去！！！！！

newcenturymoon - 2007-4-15 16:29:00

引用:

【zexee的贴子】楼主啊，杀毒怎么能想当然呢，，，没见过病毒就能想出杀他的办法？

这个病毒非常诡异，删文件没有任何提示失败，但就是删不掉。

有一个usb8028.sys的驱动保护着，还没有人给出可行的杀毒方案。

病毒样本发你邮箱了。
………………

我帖子里也说了并不是最终解决方案亚因为没有样本测试
而且刚才拿到了一个样本可是运行不起来不知道为什么

天月来了 - 2007-4-15 16:35:00

这破玩意真的有usb8028

切！！！！！！！！！！！！！！！！！

啥玩意！！！！！！！！！！

中了的，又烦死了。

newcenturymoon - 2007-4-15 16:39:00

貌似还有个MSRundll.exe

天月来了 - 2007-4-15 16:44:00

哎呀！！！

放出的东西太多了啊！！！

这些个毒啊！！！！！！！！！！！

我学，我记。

呵呵！！！！！！！！

吃不消了。

火影忍者 - 2007-4-15 17:14:00

吃不消,给我们吐出来点.让我们也学学.....哈哈..

把你的经验也拿点出来吧......啊哈哈哈...!!

天月来了 - 2007-4-15 17:16:00

火影....................................

newcenturymoon - 2007-4-15 17:50:00

清除方案已经修改

天月来了 - 2007-4-15 18:00:00

这还只是处理这个自身，

并不能处理，不同的机被它折腾出来的，不同的其他的异常东西。

唉！！

好绕嘴！！！

呵呵！！！！！

newcenturymoon - 2007-4-15 18:50:00

已经根据小聪清除原先版本病毒的经验更改请中此病毒的朋友试一下

newcenturymoon - 2007-4-15 19:00:00

病毒删除的方法已经测试成功
感谢轩辕小聪的指导！

天月来了 - 2007-4-15 19:04:00

冰刃还有如此神效！！！！！！！！！！！！！！！！！

我狂学！！！！！

UFO不幸外人 - 2007-4-15 19:14:00

提醒一下:
重启并监视,要把冰刃解压缩到固定目录下,不要在压缩文件里面执行,否则无效.

阳光好强啊，我的冰刃使用方法要加这个。

newcenturymoon - 2007-4-15 19:21:00

引用:

【UFO不幸外人的贴子】提醒一下:
重启并监视,要把冰刃解压缩到固定目录下,不要在压缩文件里面执行,否则无效.

阳光好强啊，我的冰刃使用方法要加这个。
………………

小聪告诉我原来他遇到这样的病毒的方法我举一反三了一下
应该是他比较强....

yqlikaka - 2007-4-15 19:27:00

哎,强啊,对了,你说解压到固定目录下,什么意思,说下

天月来了 - 2007-4-15 19:28:00

是啊！！！

对于删除后重启这一步是很多病毒处理最难的一关。

很多时候删除很容易，但是重启又来了。

不知这个非法的东西，用猫猫常用的方法，

禁止进程创建以后。删除所有涉及的东东以后。

再取消禁止进程创建，

重启电脑，

是否有用？？？？？？？？？？？？？

瑞星卡卡安全论坛