瑞星卡卡安全论坛

症状:
1.开机的时候提示：
应用程序或DLL C:\Windows\System32\HBCT.DLL为无效的Wimdows映像。清再检测一遍您的安装盘。
和  应用程序或DLL C:\Windows\System32\HBQQSG.DLL为无效的Wimdows映像。清再检测一遍您的安装盘。

2.任务管理器打不开


瑞星扫描的病毒:
Trojan.PSW.Win32.CtOnLine.a  在  C:\Windows\System32\HBCT.DLL

Trojan.PSW.Win32.GameOL.qky  在 C:\Windows\System32\HBQQSG.DLL
说的是重启后删除
但无效.

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16

附件: SREngLOG.log

1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
我好像看到过这样本，tasmgr已经被删除，可以在正常的机子拷贝下
你的dll基本都已经被瑞星删除了，可以进入注册表找到，删除相应的dll（可以配合冰刃）效果更好，
运行输入msconfig，禁用system，此文件不正常，特别是HB的dll很可恶，遇到过另外问下盘下是否生成auto文件?hbqqsg.dll,hbct.dll,kmon.dll
system.exe
c:\windows\system32\klukterb.dll
c:\windows\system32\kpfxwiqd.dll
c:\windows\system32\lpudtxco.dll
c:\windows\system32\kpqihtmk.dll
c:\windows\system32\nswwulzy.dll
c:\windows\system32\uqvoreex.dll
c:\windows\system32\yeqvcyav.dll
c:\windows\system32\svtwqqzn.dll
c:\windows\system32\qiahhxqm.dll
c:\windows\system32\drivers\hbkernel32.sys
c:\windows\system32\drivers\atlapi.sys
c:\documents and settings\all users\application data\microsoft\media player\obj\wmpobj.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[run]    <>
注意该项[AppInit_DLLs]修改：把<HBQQSG.dll,HBCT.dll,kmon.dll>修改为<>即清空
[HBService32]    <System.exe>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\klukterb.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\kpfxwiqd.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}]    <C:\WINDOWS\system32\lpudtxco.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\kpqihtmk.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\nswwulzy.dll>
[{A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9}]    <C:\WINDOWS\system32\uqvoreex.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\yeqvcyav.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\svtwqqzn.dll>
[{434FA69C-5F0A-42e1-82B8-10AF2C8E53C6}]    <C:\WINDOWS\system32\qiahhxqm.dll>
[kpqihtmk.dll]    <C:\WINDOWS\system32\kpqihtmk.dll>
[nswwulzy.dll]    <C:\WINDOWS\system32\nswwulzy.dll>
[kpfxwiqd.dll]    <C:\WINDOWS\system32\kpfxwiqd.dll>
[klukterb.dll]    <C:\WINDOWS\system32\klukterb.dll>
[uqvoreex.dll]    <C:\WINDOWS\system32\uqvoreex.dll>
[lpudtxco.dll]    <C:\WINDOWS\system32\lpudtxco.dll>
[yeqvcyav.dll]    <C:\WINDOWS\system32\yeqvcyav.dll>
[svtwqqzn.dll]    <C:\WINDOWS\system32\svtwqqzn.dll>
[qiahhxqm.dll]    <C:\WINDOWS\system32\qiahhxqm.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[HBKernel32 Driver / HBKernel32]    <\SystemRoot\system32\DRIVERS\HBKernel32.sys>
[Atlapi / Atlapi]    <\??\C:\WINDOWS\system32\drivers\atlapi.sys>
[wmpobj / wmpobj]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys>

netdde.exe文件自己检查下，看是否有问题

删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
<HBService32><System.exe>
用SRENG恢复[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><HBQQSG.dll,HBCT.dll,kmon.dll>  []为
默认值
结束隐藏进程System.exe
再查杀

郁闷啊,
又杀出俩病毒:
AdWare.Win32.Undef.dik 在 C:\Windows\System32\borpz.bat>>$[32]\18.exe>>aspr.ske.2.x解压缩后杀毒
Trojan.PSW.Win32.GameOL.qls在C:\Windows\System32\System.exe重启后删除

清除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]下的
<{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}><C:\WINDOWS\system32\klukterb.dll>  [File is missing]
    <{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}><C:\WINDOWS\system32\kpfxwiqd.dll>  [File is missing]
    <{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\lpudtxco.dll>  [File is missing]
    <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\kpqihtmk.dll>  [File is missing]
    <{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\system32\nswwulzy.dll>  [File is missing]
    <{A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9}><C:\WINDOWS\system32\uqvoreex.dll>  [File is missing]
    <{F0930A2F-D971-4828-8209-B7DFD266ED44}><C:\WINDOWS\system32\yeqvcyav.dll>  [File is missing]
    <{DA56B183-A731-402b-9235-2CB8803E212D}><C:\WINDOWS\system32\svtwqqzn.dll>  [File is missing]
    <{434FA69C-5F0A-42e1-82B8-10AF2C8E53C6}><C:\WINDOWS\system32\qiahhxqm.dll>  [File is missing]
清除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的
<{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}><C:\WINDOWS\system32\klukterb.dll>  [File is missing]
    <{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}><C:\WINDOWS\system32\kpfxwiqd.dll>  [File is missing]
    <{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\lpudtxco.dll>  [File is missing]
    <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\kpqihtmk.dll>  [File is missing]
    <{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\system32\nswwulzy.dll>  [File is missing]
    <{A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9}><C:\WINDOWS\system32\uqvoreex.dll>  [File is missing]
    <{F0930A2F-D971-4828-8209-B7DFD266ED44}><C:\WINDOWS\system32\yeqvcyav.dll>  [File is missing]
    <{DA56B183-A731-402b-9235-2CB8803E212D}><C:\WINDOWS\system32\svtwqqzn.dll>  [File is missing]
    <{434FA69C-5F0A-42e1-82B8-10AF2C8E53C6}><C:\WINDOWS\system32\qiahhxqm.dll>  [File is missing]

服务
[mplzru / mplzru][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k mplzru-->%SystemRoot%\System32\hcxxoh.dll><N/A有问题没？
驱动程序
[dtscsi / dtscsi][Running/Manual Start]
  <\SystemRoot\System32\Drivers\dtscsi.sys><N/A>
[sptd / sptd][Running/Boot Start]
  <\SystemRoot\System32\Drivers\sptd.sys><N/A>
[WINIO / WINIO][Stopped/Manual Start]
  <\??\G:\游戏\hknms.sys><N/A>好像不对啊
正在运行的进程
[PID: 1628 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-0852)]
    [C:\WINDOWS\system32\mdimon.dll]  [Microsoft Corporation, 11.3.2175.0]
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll]  [Microsoft Corporation, 1
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\ppbipr.dll]  [Black Ice Software, 2.00]
[C:\WINDOWS\system32\CmdLineExt03.dll]  [N/A, ]也不正常，那个black ice是著名黑客软件吧？

最好下载冰刃，因为你的进程管理已经无法启用
system在注册表，启动项里要清除掉，如果进程system有多余，要认清，结束进程
bat文件是安装钩子时，exe文件产生的，但是从当前进程没发现dat

各个盘根目录下都没有AUTO.EXE和AUTO.INF

现在已经不出现
开机的时候提示：
应用程序或DLL C:\Windows\System32\HBCT.DLL为无效的Wimdows映像。清再检测一遍您的安装盘。
和  应用程序或DLL C:\Windows\System32\HBQQSG.DLL为无效的Wimdows映像。清再检测一遍您的安装盘。

但任务管理器还是打不开,
我再杀个毒看看,

衷心感谢各位大侠的帮助,我自己也从中学到不少东西,

AdWare.Win32.Undef.dik 在 C:\Windows\System32\borpz.bat>>$[32]\18.exe>>aspr.ske.2.x解压缩后杀毒
Trojan.PSW.Win32.GameOL.qls在C:\Windows\System32\System.exe重启后删除
这两个还在,
新出现的Trojan.DL.Win32.Mnless.beh删除成功
冰刃已经下载了,但介绍好可怕啊,有点不敢用,现在有些为难了,
我毕竟是个菜鸟啊,谁有耐心帮我搞搞啊

该用户帖子内容已被屏蔽

任务管理起打不开，并没看到被劫持，可能是tasmgr被删除的缘故！可以在system下看看
system.exe可以进入对应的病毒路径目录找到删除，冰刃本来就有进程监视功能，任务管理起打不开可以用冰刃取代下，最好一样一样的来

是啊,冰刃可以代替任务管理器,但system.exe上的病毒咋办啊?根据路径找到的就是system.exe文件本身,是在不敢把它删掉啊.

用360扫了一下,现在就剩下"GameThief.sidp"盗号木马了,其他都杀掉了

360安全卫士木马查杀历史报告

木马名称：GameThief.sidp盗号木马
路径：
查杀时间 ：2008-09-24 00:22

木马名称：ILM木马程序
路径：C:\WINDOWS\system32\HBCT.dll
查杀时间 ：2008-09-23 23:45
木马名称：Kcrn木马程序
路径：C:\WINDOWS\system32\HBQQSG.dll
查杀时间 ：2008-09-23 23:45

木马名称：Trojan/Win32.HZJ.aaa
路径：C:\Program Files\Internet Explorer\IJL15.DLL
查杀时间 ：2008-09-23 23:42

木马名称：Sysloader木马程序
路径：
查杀时间 ：2008-09-23 23:09

木马名称：Heuristic.New恶意木马
路径：
查杀时间 ：2008-09-23 23:09

木马名称：Trojan/Win32.Agent.chd
路径：C:\WINDOWS\system32\ke86.dll
查杀时间 ：2008-09-23 23:09
木马名称：Trojan/Win32.Agent.chd
路径：C:\WINDOWS\system32\ke733.dll
查杀时间 ：2008-09-23 23:09
木马名称：Trojan/Win32.Agent.chd
路径：C:\WINDOWS\system32\ke666.dll
查杀时间 ：2008-09-23 23:09
木马名称：Trojan/Win32.Agent.chd
路径：C:\WINDOWS\system32\ke573.dll
查杀时间 ：2008-09-23 23:09
木马名称：Trojan/Win32.Agent.chd
路径：C:\WINDOWS\system32\ke567.dll
查杀时间 ：2008-09-23 23:09
木马名称：Trojan/Win32.Agent.chd
路径：C:\WINDOWS\system32\ke253.dll
查杀时间 ：2008-09-23 23:09
木马名称：Trojan/Win32.Agent.chd
路径：C:\WINDOWS\system32\ke159.dll
查杀时间 ：2008-09-23 23:09
木马名称：Backdoor/Win32.Agent.agfq
路径：C:\WINDOWS\system32\netdde.exe
查杀时间 ：2008-09-23 23:09
木马名称：Trojan/Win32.SuperKiller.sdx
路径：C:\WINDOWS\system32\System.exe
查杀时间 ：2008-09-23 23:09

高手就是高手!你太有才了,我现在才搞明白你的这个帖子.
经过一一对照,完全正确,谢谢啊!

哦耶!!
感谢所有给我支招的热心大侠们!我的机子又活了,今天我学到不少东西,受益非浅啊!
谢谢!!!