病毒木马！！！ bbs.ikaka.com

19860128jj - 2009-1-12 19:54:00

APPINIT被修改出现 HBMHLY.DLL等HB开头的程序还出现svchost.exe应用程序错误应用程序发生异常 unknown software exception (oxooooofd) 位置为0x5fde8809
下面是扫描日志

附件: SREngLOG.log (2009-1-12 19:54:16, 67.46 K)
该附件被下载次数 179

高手帮忙看看最好彻底清除了被这个烦了很久了

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)

aaccbbdd - 2009-1-12 20:01:00

是木马群
中毒还玩魔兽？号被盗是肯定的了。。。。。。。。

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\a.exe
c:\docume~1\jayxujie\locals~1\temp\wmsetup.dll
c:\windows\system32\system.exe
c:\windows\system32\hbchibi.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\hbshq.dll
c:\windows\system32\hbtw2.dll
c:\windows\system32\hbwulin2.dll
c:\windows\system32\hbzhuxian.dll
c:\windows\system32\abakllpg.dll
c:\windows\system32\daafjmbc.dll
c:\windows\system32\dhdjgnhe.dll
c:\windows\system32\djooifea.dll
c:\windows\system32\eenmbhme.dll
c:\windows\system32\eobegmpa.dll
c:\windows\system32\fkldbabk.dll
c:\windows\system32\gbgknhlj.dll
c:\windows\system32\hcdbhhpk.dll
c:\windows\system32\ibkfhklh.dll
c:\windows\system32\imgpkffi.dll
c:\windows\system32\kfefjdnk.dll
c:\windows\system32\lmbofbao.dll
c:\windows\system32\mfkkceon.dll
c:\windows\system32\mknimdfg.dll
c:\windows\system32\plkcdnjh.dll
c:\windows\system32\diegeajj.dll
c:\docume~1\jayxujie\locals~1\temp\nse65.tmp\installoptions.dll

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[F45DBAB4] <C:\WINDOWS\system32\fkldbabk.dll>
[0B047153] <C:\WINDOWS\system32\gbgknhlj.dll>
[D3882FEA] <C:\WINDOWS\system32\djooifea.dll>
[D2E0EA33] <C:\WINDOWS\system32\diegeajj.dll>
[D1D3071E] <C:\WINDOWS\system32\dhdjgnhe.dll>
[4FEF3D74] <C:\WINDOWS\system32\kfefjdnk.dll>
[954CD731] <C:\WINDOWS\system32\plkcdnjh.dll>
[DAAF36BC] <C:\WINDOWS\system32\daafjmbc.dll>
[6F44CE87] <C:\WINDOWS\system32\mfkkceon.dll>
[26094FF2] <C:\WINDOWS\system32\imgpkffi.dll>
[2B4F1451] <C:\WINDOWS\system32\ibkfhklh.dll>
[1CDB1194] <C:\WINDOWS\system32\hcdbhhpk.dll>
[ABA45590] <C:\WINDOWS\system32\abakllpg.dll>
[E8BE069A] <C:\WINDOWS\system32\eobegmpa.dll>
[56B8FBA8] <C:\WINDOWS\system32\lmbofbao.dll>
[EE76B16E] <C:\WINDOWS\system32\eenmbhme.dll>
[64726DF0] <C:\WINDOWS\system32\mknimdfg.dll>
[{F45DBAB4-4C3F-4CFC-A969-4F85D7BBBBA4}] <C:\WINDOWS\system32\fkldbabk.dll>
[{0B047153-C0F6-46B1-84C6-5C17532D1EC1}] <C:\WINDOWS\system32\gbgknhlj.dll>
[{D3882FEA-F379-4CEC-8C01-B14290C3C073}] <C:\WINDOWS\system32\djooifea.dll>
[{D2E0EA33-6C44-4B82-B450-1EA125DE53F7}] <C:\WINDOWS\system32\diegeajj.dll>
[{D1D3071E-9D83-43B3-A9FD-804D6D91692D}] <C:\WINDOWS\system32\dhdjgnhe.dll>
[{4FEF3D74-AABC-41A0-BFDC-6F0547A15C42}] <C:\WINDOWS\system32\kfefjdnk.dll>
[{954CD731-0B01-463B-9DB4-B51471BE9423}] <C:\WINDOWS\system32\plkcdnjh.dll>
[{DAAF36BC-0C34-4FEA-AACE-A1E6341FFD5E}] <C:\WINDOWS\system32\daafjmbc.dll>
[{6F44CE87-3B63-4662-9A14-1E89E790CA87}] <C:\WINDOWS\system32\mfkkceon.dll>
[{26094FF2-3DEE-4652-936C-DC0AB2455D71}] <C:\WINDOWS\system32\imgpkffi.dll>
[{2B4F1451-80D4-42E7-976D-B0895EEBA2E6}] <C:\WINDOWS\system32\ibkfhklh.dll>
[{1CDB1194-9A83-4CEB-8B67-0B81A9EDE1F1}] <C:\WINDOWS\system32\hcdbhhpk.dll>
[{ABA45590-AFDD-4EFE-824E-5254E22DDA19}] <C:\WINDOWS\system32\abakllpg.dll>
[{E8BE069A-C7F4-420F-A2F2-D299FA99ECFF}] <C:\WINDOWS\system32\eobegmpa.dll>
[{56B8FBA8-155B-4CDF-BA30-BB1182AB4E11}] <C:\WINDOWS\system32\lmbofbao.dll>
[{EE76B16E-B950-4ED8-8974-C4BFBC7D3D39}] <C:\WINDOWS\system32\eenmbhme.dll>
[{64726DF0-0FC0-4E48-A93C-6D20BDE94B77}] <C:\WINDOWS\system32\mknimdfg.dll>
注意该项[AppInit_DLLs]修改：把<HBmhly.dll,mknimdfg.dll,eenmbhme.dll,lmbofbao.dll,eobegmpa.dll,abakllpg.dll,hcdbhhpk.dll,ibkfhklh.dll,imgpkffi.dll,HBCHIBI.dll,mfkkceon.dll,daafjmbc.dll,plkcdnjh.dll,kfefjdnk.dll,HBSHQ.dll,HBTW2.dll,dhdjgnhe.dll,HBWULIN2.dll,HBZHUXIAN.dll,diegeajj.dll,djooifea.dll,gbgknhlj.dll,fkldbabk.dll>修改为<>即清空
[HBService32] <System.exe>

aaccbbdd - 2009-1-12 20:03:00

至于
svchost.exe错误，参见：
http://bbs.ikaka.com/showtopic-8563235.aspx

19860128jj - 2009-1-12 20:06:00

[F45DBAB4] <C:\WINDOWS\system32\fkldbabk.dll>
[0B047153] <C:\WINDOWS\system32\gbgknhlj.dll>
[D3882FEA] <C:\WINDOWS\system32\djooifea.dll>
[D2E0EA33] <C:\WINDOWS\system32\diegeajj.dll>
[D1D3071E] <C:\WINDOWS\system32\dhdjgnhe.dll>
[4FEF3D74] <C:\WINDOWS\system32\kfefjdnk.dll>
[954CD731] <C:\WINDOWS\system32\plkcdnjh.dll>
[DAAF36BC] <C:\WINDOWS\system32\daafjmbc.dll>
[6F44CE87] <C:\WINDOWS\system32\mfkkceon.dll>
[26094FF2] <C:\WINDOWS\system32\imgpkffi.dll>
[2B4F1451] <C:\WINDOWS\system32\ibkfhklh.dll>
[1CDB1194] <C:\WINDOWS\system32\hcdbhhpk.dll>
[ABA45590] <C:\WINDOWS\system32\abakllpg.dll>
[E8BE069A] <C:\WINDOWS\system32\eobegmpa.dll>
[56B8FBA8] <C:\WINDOWS\system32\lmbofbao.dll>
[EE76B16E] <C:\WINDOWS\system32\eenmbhme.dll>
[64726DF0] <C:\WINDOWS\system32\mknimdfg.dll>
这些在APPINIT_DLLS里的删不掉啊

aaccbbdd - 2009-1-12 20:08:00

着什么急
先删病毒文件
再删除启动项:default3:

19860128jj - 2009-1-12 20:09:00

HBService32] <System.exe>
这个要修改还是删除

我的SVCHOST。EXE报错不是 http://bbs.ikaka.com/showtopic-8563235.aspx 里面描述的症状

19860128jj - 2009-1-12 20:10:00

晕一定要先删除文件？那我先去XDELBOX删了再来见您啊少等

张子亮 - 2009-1-12 20:24:00

把C:\WINDOWS\system32\oleadp.dll打包上传到样本区看下吧:default2: :default2: 我系统找不到你这个应用扩展程序，百度和GOOGLE关于这资料都是说是关于木马群的，卡饭论坛里说的是蝗虫军团里的东西:default2: :default2: :default2: 虽然它有数字签名。可是最让我感到奇怪的是该进程显示的公司名是Microsoft corporation可是我的系统里搜索不出这个模块，而且百度和GOOGLE也查不出这个模块的系统名，全部资料都说它是毒:default2: :default2: 初步怀疑是伪造系统文件:default1: 让前辈研究下呃:default2:

19860128jj - 2009-1-12 20:25:00

按您的步骤做完了
刚才在DOS删除文件的时候出现不少文件 NOT FOUND
现在是开机新扫描的日志

附件: SREngLOG1.log (2009-1-12 20:25:17, 48.21 K)
该附件被下载次数 162

麻烦再看下有没什么后遗症谢谢了

机器中毒我一直知道魔兽也被盗过1次不过现在有经验防盗号的了只是见着这些莫名其妙的病毒不爽还是删干净了心里舒服点

19860128jj - 2009-1-12 20:28:00

附件: oleadp.rar (2009-1-12 20:28:00, 9.84 K)
该附件被下载次数 182

样本区我去找找在哪也去发个

aaccbbdd - 2009-1-12 20:28:00

失误了

应该用附件清理映像劫持项
刚刚忘了说了。。。。。

建议使用XDelBox删除以下文件： Xdelbox1.8下载
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\fonts\framdee.ttf

附件: 映像劫持修复工具.rar

19860128jj - 2009-1-12 20:33:00

先用XDELBOX删除再用映象劫持工具吗

aaccbbdd - 2009-1-12 20:35:00

随意
呵呵

删除完新日志看看:default6:

张子亮 - 2009-1-12 20:39:00

那么C:\WINDOWS\system32\oleadp.dll这个文件是啥呢:default2:

19860128jj - 2009-1-12 20:42:00

新的扫描日志

附件: SREngLOG2.log (2009-1-12 20:42:12, 41.27 K)
该附件被下载次数 97

还有我的资源管理器里进程的用户名都不显示了是病毒搞的还是某些服务没有开启

aaccbbdd - 2009-1-12 20:45:00

好像是病毒
如果没记错的话

难道我没看见？:default2:

张子亮 - 2009-1-12 20:49:00

也难怪的，它用的是系统名称Microsoft corporation，还带有数字签名，使得我下不了手:default2: :default2: 可是它占据了svchost.exe进程。假如它是毒就能解释为何楼主会出现svchost.exe进程错误:default2: :default2:而且而且各个进程都带有这个进程，我都不敢动它

aaccbbdd - 2009-1-12 20:56:00

清理助手下载
升级清理助手，全盘扫描
清理系统

aaccbbdd - 2009-1-12 20:58:00

C:\WINDOWS\system32\oleadp.dll
恕我眼拙

我只看见了C:\WINDOWS\system32\uxtheme.dll
C:\WINDOWS\system32\oleadp.dll在进程里么？

公司名称和数字签名都有且完整，一般不是病毒
不完整就。。。。。。。。。

张子亮 - 2009-1-12 21:03:00

我也不确定是不是病毒，所以建议楼主先到样本区把这个进程给上传上去，安全第一嘛:default2: :default2:

19860128jj - 2009-1-12 21:04:00

样本区没找到
在可疑文件区发了

张子亮 - 2009-1-12 21:06:00

我用SRENG分析助手挖出来的:default2:

19860128jj - 2009-1-12 21:09:00

刚用360快速扫描了下还是有木马存在？

aaccbbdd - 2009-1-12 21:12:00

。。。。。。
那是不在进程里的

是死毒
怎么不先拿瑞星扫描。。。。。。。。。

360能杀毒么:default3:

19860128jj - 2009-1-12 21:18:00

免费更新的瑞星在哪下啊

aaccbbdd - 2009-1-12 21:21:00

？
现在的就能免费一个月

19860128jj - 2009-1-12 21:23:00

那我现在应该干啥下个瑞星查下毒吗
我平时都让机器裸奔的

baohe - 2009-1-12 21:49:00

引用:

原帖由 19860128jj 于 2009-1-12 20:28:00 发表

附件: oleadp.rar (2009-1-12 20:28:00, 9.84 K)
该附件被下载次数 182

样本区我去找找在哪也去发个

Trojan.Win32.Undef.vbf
瑞星已经能杀。

aaccbbdd - 2009-1-12 21:51:00

用大蜘蛛吧
免安装:default6:

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

记得
开始后要立即中止杀毒
这个程序，默认的是快速扫描

你选中止之后，选择全面扫描再扫描

蜘蛛会误报呀
自己甄别下结果

至于免费版软件
楼主可以去墨者看看
终身免费的趋势杀毒:default6:

瑞星卡卡安全论坛