中了HBinJect.exe病毒，瑞星防火墙被关，安全软件被删，附SREng文件 bbs.ikaka.com

daisycl - 2008-8-13 20:43:00

开机弹出提示“无法找到HBmhly.dll""致使HBInject.exe无法加载"
现在瑞星也不能升级，防火墙也被关了，下的SREng工具运行后被删，终于在论坛找到可以扫描日志了，发上来希望帮忙看一下，该怎么删除病毒

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA)

附件: SREngLOG.log

最硬的石头 - 2008-8-13 20:46:00

先用SRENG修复
API HOOK
入口点错误：RegEnumValueA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\nejer.dll)
入口点错误：RegEnumValueW (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\nejer.dll)
入口点错误：RegOpenKeyExA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\nejer.dll)
入口点错误：CreateFileA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\nejer.dll)
入口点错误：CreateFileW (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\nejer.dll)

再上传日志

aaccbbdd - 2008-8-13 20:47:00

http://bbs.ikaka.com/showtopic-8535283.aspx
3楼
自助清理

清理完
弄SRENG2.6日志吧

最硬的石头 - 2008-8-13 20:52:00

1.使用金山清理专家清理临时文件夹和IE目录，如果病毒在还原点，则关闭系统还原。
—————————————————————————————————————————————
2.下列文件可疑到下列网址确认下
多引擎病毒扫描网
卡卡文件诊所
C:\WINDOWS\system32\debug.exe
C:\WINDOWS\system32\gdipro.dll
C:\WINDOWS\system32\sys01006.dll
C:\WINDOWS\system32\sys07003.dll
C:\WINDOWS\system32\nejer.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\pedadt.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\kgfghd.dll
C:\WINDOWS\system32\wyhesm.dll
C:\WINDOWS\system32\wklsdd.dll
C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys
C:\WINDOWS\system32\wrqszl.dll
C:\WINDOWS\system32\tdggrz.dll
C:\WINDOWS\system32\fsrgeb.dll
C:\WINDOWS\system32\rfdswc.dll
C:\Program Files\Internet Explorer\ExploreNt.Sys
C:\Program Files\Internet Explorer\ExploreNt.Dat
如果是病毒的话使用XDelBox删除或其他方法删除（见我签名）
XDelBox的使用

冰刃【复制改写】删除文件
—————————————————————————————————————————————
3.单击【开始】--选择【运行】--输入regedit--【回车】--进入注册表编辑器：
删除如下注册表值项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}><C:\WINDOWS\system32\dpvvoxmh.dll> [N/A]
<{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}><C:\WINDOWS\system32\adsntzt.dll> [N/A]
<{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}><C:\WINDOWS\system32\tufohzfm.dll> [N/A]
<{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\lweurqhx.dll> []
<{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}><C:\WINDOWS\system32\avicapwm.dll> [N/A]
<{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}><C:\WINDOWS\system32\cliconfgzx.dll> [N/A]
<{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\system32\dispexcb.dll> [N/A]
<{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}><C:\WINDOWS\system32\certmgrkd.dll> [N/A]
<{00180018-0018-0018-0018-00180018BB15}><C:\WINDOWS\system32\mstimewd.dll> [N/A]
<{00300030-0030-0030-0030-00300030BB15}><C:\WINDOWS\system32\imgutilhx2.dll> [N/A]
<{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\bootvidgj.dll> [N/A]
<{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll> [N/A]
<{86899D14-95D7-4E22-8AB3-7ACC53076FC9}><C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys> []
<{9C8D1401-A58D-A81C-CD24-A5915C4517C9}><C:\WINDOWS\Fonts\mnmhisrv.dll> []
<{5E907A48-400E-4EA8-9792-FFAE052D59E9}><C:\WINDOWS\system32\pedadt.dll> []
<{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\WINDOWS\system32\fmcvxy.dll> [N/A]
<{0CD9CB21-F56C-4AE1-B188-39F1E8D692AB}><C:\Program Files\Internet Explorer\ExploreNt.Sys> []
<{53AC264F-6DD8-41D9-921F-01FAAEA95C8B}><C:\Program Files\Internet Explorer\ExploreNt.Dat> []
<{D51510C1-ECEA-45F7-B782-FE0EC2D2535D}><C:\Program Files\Internet Explorer\ExploreNt.win> []
<{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll> []
<{021F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll> []
<{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll> []
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
<{461D2AB4-29A5-45C2-9134-D52272D3DE38}><C:\WINDOWS\system32\rfdswc.dll> []
<{9FD45A54-9875-698F-E56E-65102358FDF9}><C:\WINDOWS\Fonts\apsghjba.dll> []
<{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}><C:\WINDOWS\system32\fsrgeb.dll> []
<{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}><C:\WINDOWS\system32\tdggrz.dll> []
<{28766E1C-74B0-4417-8C75-F12AE309EF35}><C:\WINDOWS\system32\wzcfsw.dll> [N/A]
<{F99DEFDD-200B-4410-B572-E90883D527D2}><C:\WINDOWS\system32\wrqszl.dll> []
<{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}><C:\WINDOWS\system32\wklsdd.dll> []
<{3A698452-C5D8-C584-C256-C264C987C5A3}><C:\WINDOWS\Fonts\ijdycpaw.dll> []
<{EB71E0B3-E97D-4D30-8733-E28266467617}><C:\WINDOWS\system32\wyhesm.dll> []
<{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll> []
<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}><C:\WINDOWS\system32\kgfghd.dll> []
—————————————————————————————————————————————
4.启动windows优化大师，清理注册表。
运行WINDOWS清理助手或卡卡安全助手或金山清理专家，清理恶意程序和病毒的残留物，启动杀软全盘扫描，完成最后的清理。
—————————————————————————————————————————————
点击下载：金山清理专家
点击下载：windows优化大师
点击下载：windows清理助手
点击下载：卡卡安全助手

最硬的石头 - 2008-8-13 21:03:00

楼主啊，重装吧，真的手工杀毒太麻烦了:default2:

daisycl - 2008-8-13 21:15:00

谢谢两位的快速回复，原来有这么多问题，但是怎么用SRENG修复
API HOOK啊，那个使用帖里好象也没讲，我是边学边试的，不知道怎么修复那些API

daisycl - 2008-8-13 21:22:00

本人的电脑前些天刚分区重装，实在不想再重装了，联想的，本来有一键恢复，但重分区后没有了，要去售后服务点重装一键恢复模块，就没去弄了，偏偏这么快就又中病毒了，连一键恢复都用不成了，简直是陷入无尽的苦海中啊，怎么就这么快又中呢:default87:

aaccbbdd - 2008-8-13 21:23:00

3楼不是有自助清理方法？:default3:

最硬的石头 - 2008-8-13 21:25:00

不用重装，按4楼的方法也能清除的

daisycl - 2008-8-13 21:47:00

我用的修改后的2.4版才能扫描日志，里面没有修复API，怪不得找不到，但其他2.6版的总是被删除，该成123也不行，放系统文件夹也不行

aaccbbdd - 2008-8-13 21:53:00

我的链接被楼主藐视了:default3:
自己考虑去吧

daisycl - 2008-8-13 21:58:00

没有呀，不好意思，因为我一直都在看关于SRENG和xdelbox怎么来删除HBinJect的帖子，不知道自己还有“debug.exe和taskmgr.exe以及mmc.exe的替换问题”之类的问题，已经看的很头痛了，想一个一个慢慢解决，我是完全不懂怎么手动杀毒，现在边学边实验着杀毒啊！对于你们的帮助都很感激的！

aaccbbdd - 2008-8-13 21:59:00

3楼是最简单的方法
自助清理呀

daisycl - 2008-8-13 22:06:00

谢谢，现在正在实验

福兴韵 - 2008-8-13 22:16:00

该用户帖子内容已被屏蔽

daisycl - 2008-8-13 23:28:00

用清理助手扫描清理了一些木马，重启进入安全模式再扫了一遍清除若干木马，再重启去QQ里删了msock32.dll，可以用SREng2.6了，修复了API HOOK，现在再把SREng扫描的日志发上来，帮我看看还要删什么，谢谢！

附件: SREngLOG.log

aaccbbdd - 2008-8-13 23:31:00

b]1.建议使用XDelBox删除以下文件：(Xdelbox1.7下载地址：http://www.qispace.com.cn/read.php/1.htm 的工具19）
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\nejer.dll
c:\windows\fonts\ijdycpaw.dll
c:\windows\fonts\apsghjba.dll
c:\program files\internet explorer\explorent.win
c:\program files\internet explorer\explorent.dat
c:\program files\internet explorer\explorent.sys
c:\windows\fonts\mnmhisrv.dll
c:\program files\internet explorer\plugins\winnt64.sys
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\tufohzfm.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\e9f921d4.exe
c:\windows\system32\drivers\gggqsru.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[certmgrkd.dll] <>
[sjojw] <C:\WINDOWS\system32\nejer.dll>
[{3A698452-C5D8-C584-C256-C264C987C5A3}] <C:\WINDOWS\Fonts\ijdycpaw.dll>
[{9FD45A54-9875-698F-E56E-65102358FDF9}] <C:\WINDOWS\Fonts\apsghjba.dll>
[{D51510C1-ECEA-45F7-B782-FE0EC2D2535D}] <C:\Program Files\Internet Explorer\ExploreNt.win>
[{53AC264F-6DD8-41D9-921F-01FAAEA95C8B}] <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[{0CD9CB21-F56C-4AE1-B188-39F1E8D692AB}] <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[{9C8D1401-A58D-A81C-CD24-A5915C4517C9}] <C:\WINDOWS\Fonts\mnmhisrv.dll>
[{86899D14-95D7-4E22-8AB3-7ACC53076FC9}] <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}] <C:\WINDOWS\system32\dpvvoxmh.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}] <C:\WINDOWS\system32\tufohzfm.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}] <C:\WINDOWS\system32\avicapwm.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}] <C:\WINDOWS\system32\cliconfgzx.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}] <C:\WINDOWS\system32\dispexcb.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}] <C:\WINDOWS\system32\bootvidgj.dll>
[fpwpwvol.dll] <C:\WINDOWS\system32\tufohzfm.dll>
[avicapwm.dll] <C:\WINDOWS\system32\avicapwm.dll>
[sayegkjj.dll] <C:\WINDOWS\system32\tufohzfm.dll>
[tufohzfm.dll] <C:\WINDOWS\system32\tufohzfm.dll>

启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[140A1C68 / 140A1C68] <C:\WINDOWS\system32\E9F921D4.EXE -d>

启动项目－－服务－－驱动程序之如下项禁用：
[gggqsru / gggqsru] <\??\C:\WINDOWS\system32\drivers\gggqsru.sys>

系统修复－－　浏览器加载项之如下项删除：
[] <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[] <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[] <C:\Program Files\Internet Explorer\ExploreNt.win>
[] <C:\Program Files\Internet Explorer\ExploreNt.win>
[] <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[] <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[] <C:\Program Files\Internet Explorer\ExploreNt.Sys>

系统修复－－ HOSTS文件－－重置

清理助手升级后清理系统
http://www.arswp.com/download.html

daisycl - 2008-8-14 1:48:00

完全按照17楼的该删的删该改的也改了，又用清理助手清理了一遍，再把SREng日志放上来，感觉还是有点问题，任务管理器怎么还是打不开

附件: SREngLOG.log

daisycl - 2008-8-14 2:10:00

C盘system32里面还有个lsass和debug,这两个是不是病毒啊

Enao2005 - 2008-8-14 2:47:00

拷贝C:\WINDOWS\system32\dllcache\comctl32.dll到C:\WINDOWS\system32\下
删除注册表项目
<N/A><C:\WINDOWS\system32\lcbco\svchost.exe /t> [File is missing]

删除服务
[140A1C68 / 140A1C68][Stopped/Disabled]
<C:\WINDOWS\system32\E9F921D4.EXE -d><(File is missing)>

删除驱动服务
[gggqsru / gggqsru][Stopped/Disabled]
<\??\C:\WINDOWS\system32\drivers\gggqsru.sys><N/A>

重启删除
C:\WINDOWS\system32\drivers\gggqsru.sys

将C:\WINDOWS\system32\dllcache\debug.exe复制到C:\WINDOWS\system32下

修复瑞星防火墙

最硬的石头 - 2008-8-14 10:16:00

引用:

原帖由 daisycl 于 2008-8-14 2:10:00 发表
C盘system32里面还有个lsass和debug,这两个是不是病毒啊

debug还是病毒
1.使用金山清理专家清理临时文件夹和IE目录，如果病毒在还原点，则关闭系统还原。
—————————————————————————————————————————————
2.下列文件可疑到下列网址确认下
多引擎病毒扫描网
卡卡文件诊所
C:\WINDOWS\system32\debug.exe
C:\WINDOWS\system32\drivers\gggqsru.sys
如果是病毒的话使用XDelBox删除或其他方法删除（见我签名）
XDelBox的使用

冰刃【复制改写】删除文件
—————————————————————————————————————————————
3.成功删除后使用SREng修复下面各项
SREng使用方法
【启动项目】--【服务】--【驱动程序】，将以下项删除：
[gggqsru / gggqsru][Stopped/Disabled]
<\??\C:\WINDOWS\system32\drivers\gggqsru.sys><N/A>
【启动项目】--【服务】--【Win32服务应用程序】，将以下项删除：
[140A1C68 / 140A1C68][Stopped/Disabled]
<C:\WINDOWS\system32\E9F921D4.EXE -d><(File is missing)>
【系统修复】--【浏览器加载项】，将以下项删除：

—————————————————————————————————————————————
4.启动windows优化大师，清理注册表。
运行WINDOWS清理助手或卡卡安全助手或金山清理专家，清理恶意程序和病毒的残留物，启动杀软全盘扫描，完成最后的清理。
—————————————————————————————————————————————
点击下载：金山清理专家
点击下载：windows优化大师
点击下载：windows清理助手
点击下载：卡卡安全助手

daisycl - 2008-8-14 11:18:00

谢谢以上两位，今早重启了N次，先修复了瑞星防火墙，才得以在病毒发作之前浏览完你们的建议，现在继续在杀毒

daisycl - 2008-8-14 13:55:00

1、好象大部分病毒都杀了，但我的任务管理器还是打不开啊，用卡卡、金山清理专家、优化大师、清理助手都修复过，但还是打不开。

2、SREng提示注册表值AppInit_DLLs被修改为非正常值Kmon.dll，编辑成空值，刷新后还是变成Kmon.dll。

3、每次打开SREng还是冒出很多个入口点错误，修复完还有。

4、c:\WINDOWS\system32\rundll32.exe
c:\PROGRA~1\StormII\StormSet.dll,CheckEnv 这两个总要访问网络，是不是病毒啊。

5、总觉得c:\WINDOWS\system32\lsass.exe也是病毒

再附上最新的SREng日志，麻烦帮我看看！感激不尽！

附件: SREngLOG.log

最硬的石头 - 2008-8-14 15:07:00

1.检查c:\windows\system32\taskmgr.exe是否存在
2.Kmon.dll是卡卡安全助手的文件，无需修复
3.日志中没此问题，有些错误是瑞星的防火墙的API HOOK造成的
4.这个是暴风影音的组件，访问网路是正常行为
5.日志中的C:\WINDOWS\system32\lsass.exe是微软公司的，不是病毒，你可以找到文件，右键查看属性

日志正常，没有问题

daisycl - 2008-8-14 15:10:00

果真，taskmgr.exe没有了，怎么办

fillix - 2008-8-14 15:14:00

到dllcache(开始-运行-dllcache)中复制一个到system32下面，日志没什么问题了

最硬的石头 - 2008-8-14 15:18:00

要同时替换comctl32.dll

把附件里的文件拷到system32下

附件: taskmgr.rar

daisycl - 2008-8-14 15:52:00

同时替换comctl32.dll，是先删除system32下原来的那个再把压缩里的复制进去吗，taskmgr可以复制，comctl32.dll不行

fillix - 2008-8-14 16:25:00

taskmgr复制后能否正常使用？
comctl32.dll不能复制有什么提示

最硬的石头 - 2008-8-14 16:28:00

那就不要复制吧..

瑞星卡卡安全论坛