遭遇HBKernel32.sys,53u1ttMe.2ys,HBTL.dll,HBSO2.dll,bcejnmfd.dll等1

最新推荐文章于 2022-02-25 21:57:21 发布
最新推荐文章于 2022-02-25 21:57:21 发布
阅读量1.5k 收藏
点赞数
分类专栏: 系统维护 文章标签: system c manager 任务 iis service
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/3086920
版权

遭遇HBKernel32.sys,53u1ttMe.2ys,HBTL.dll,HBSO2.dll,bcejnmfd.dll等1

 

endurer 原创
2008-10-16 第1

 

昨天,一位同事说他的电脑开机后桌面一片空白,任务栏和桌面图标都未显示。请偶帮忙检修。

在同事的电脑上打开任务管理器检查,没有发现可疑的进程,而且explorer.exe已经运行了。

先把explorer.exe进程终止掉,然后再运行explorer.exe,不料任务管理器假死。尝试运行cmd.exe,WinRAR.exe,也是如此。

只好重启电脑到安全模式,打算用msconfig.exe检查开机启动项,不料根本找不到msconfig.exe。只要直接运行注册表编辑器regedit.exe来检查。

很快就发现了:

O4 - HKLM/../Run: [HBService32]  System.exe

确认是中标了,把值改为:;System.exe

记得这个东东还有一个服务项,找到并将启动方式改为4(禁用):

 

O23 - 服务: HBKernel32 (HBKernel32 Driver) -  system32/drivers/HBKernel32.sys | 2008-10-13 5:12:50(禁用)

重启电脑,这次桌面显示正常了。

下载 pe_xscan 扫描 log 并分析,发现如下可疑项(进程模块部分有省略):

 

pe_xscan 08-08-01 by Purple Endurer 
2008-10-15 16:6:41 
Windows XP Service Pack 3(5.1.2600) 
MSIE:7.0.5730.11 
管理员用户组 
正常模式

[System Process] * 0 
   C:/WINDOWS/system32/HBTL.dll | 2008-10-13 5:14:38 
   C:/Program Files/Internet Explorer/53u1ttMe.2ys | 2008-10-13 5:22:48 
   C:/WINDOWS/system32/ozmazluz.dll | 2008-10-13 5:18:21 
   C:/WINDOWS/system32/bcejnmfd.dll | 2008-10-13 5:18:1 
   C:/WINDOWS/system32/uhtcnwqw.dll | 2008-10-13 5:17:19 
   C:/WINDOWS/system32/tpphbrik.dll | 2008-10-13 5:15:59 
   C:/WINDOWS/system32/flirxttw.dll | 2008-10-13 5:15:39 
C:/WINDOWS/system32/winlogon.exe* 956 | 2004-8-17 4:0:0 
   C:/WINDOWS/system32/HBSO2.dll | 2008-10-13 5:13:56 
   C:/WINDOWS/system32/HBTL.dll | 2008-10-13 5:14:38 
C:/WINDOWS/system32/services.exe* 1004 | 2004-8-17 4:0:0 
   C:/WINDOWS/system32/HBSO2.dll | 2008-10-13 5:13:56 
   C:/WINDOWS/system32/HBTL.dll | 2008-10-13 5:14:38 
C:/WINDOWS/system32/lsass.exe* 1016 | 2004-8-17 4:0:0 
   C:/WINDOWS/system32/HBSO2.dll | 2008-10-13 5:13:56 
   C:/WINDOWS/system32/HBTL.dll | 2008-10-13 5:14:38 
O2 - BHO - {F6A454AE-156A-415E-9F89-3795677A8A91} = C:/Program Files/Internet Explorer/53u1ttMe.2ys | 2008-10-13 5:22:48 
O4 - HKLM/../Run: [HBService32]  ;System.exe
O4 - HKLM/../Policies/Explorer/Run: [nwiz]  aliware.exe
O20 - AppInit_DLLs =  HBmhly.dll ,HBSO2.dll,HBSOUL.dll,HBDNF.dll,HBWOW.dll,HBTL.dll 
O21 - SSODL - flirxttw.dll(0) - {F0930A2F-D971-4828-8209-B7DFD266ED44} = C:/WINDOWS/system32/flirxttw.dll | 2008-10-13 5:15:39 
O21 - SSODL - tpphbrik.dll(B) - {A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9} = C:/WINDOWS/system32/tpphbrik.dll | 2008-10-13 5:15:59 
O21 - SSODL - uhtcnwqw.dll(3) - {DA56B183-A731-402b-9235-2CB8803E212D} = C:/WINDOWS/system32/uhtcnwqw.dll | 2008-10-13 5:17:19 
O21 - SSODL - bcejnmfd.dll(1) - {2CB77746-8ECC-40ca-8217-10CA8BE5EFC8} = C:/WINDOWS/system32/bcejnmfd.dll | 2008-10-13 5:18:1 
O21 - SSODL - ozmazluz.dll(B) - {65056902-6E7B-4bd7-95BA-688DB5FA5BEB} = C:/WINDOWS/system32/ozmazluz.dll | 2008-10-13 5:18:21 
O23 - 服务: aliimz () -  System32/Drivers/aliimz.sys (手动) 
O23 - 服务: Beep (Beep) - C:/WINDOWS/system32/Drivers/Beep.sys | 2008-10-13 13:12:45(禁用) 
O23 - 服务: HBKernel32 (HBKernel32 Driver) -  system32/drivers/HBKernel32.sys | 2008-10-13 5:12:50(禁用) 
O23 - 服务: IIS Manager (IIS Manager ) - C:/DOCUME~1/new/LOCALS~1/Temp/1.tmp (手动) 
O23 - 服务: SZNB (SZNB) - C:/06574FFE/06575006 (手动)
O24 - ShlExecHook: [4] - {F0930A2F-D971-4828-8209-B7DFD266ED44} = C:/WINDOWS/system32/flirxttw.dll | 2008-10-13 5:15:39 
O24 - ShlExecHook: [9] - {A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9} = C:/WINDOWS/system32/tpphbrik.dll | 2008-10-13 5:15:59 
O24 - ShlExecHook: [D] - {DA56B183-A731-402b-9235-2CB8803E212D} = C:/WINDOWS/system32/uhtcnwqw.dll | 2008-10-13 5:17:19 
O24 - ShlExecHook: [8] - {2CB77746-8ECC-40ca-8217-10CA8BE5EFC8} = C:/WINDOWS/system32/bcejnmfd.dll | 2008-10-13 5:18:1 
O24 - ShlExecHook: [B] - {65056902-6E7B-4bd7-95BA-688DB5FA5BEB} = C:/WINDOWS/system32/ozmazluz.dll | 2008-10-13 5:18:21 
O24 - ShlExecHook: [] - {F6A454AE-156A-415E-9F89-3795677A8A91} = C:/Program Files/Internet Explorer/53u1ttMe.2ys | 2008-10-13 5:22:48

 

下载 FileInfo 和 bat_do。用FileInfo提取可疑文件信息,用bat_do打包备份并延迟删除。

有些文件没有找到,怀疑是同事电脑中的趋势科技的杀软干掉了。

下载、安装、运行瑞星卡卡安全助手,清理病毒启动项。

紫郢剑侠
关注
专栏目录
91.vido.ws v.php,"token" parameter not in video info for unknown reason;
weixin_35307279的博客
03-29 93万+
youtube-dl -v --dump-pages https://www.youtube.com/watch?v=USg3NR76XpQ output[debug] System config: [][debug] User config: [u'--add-metadata', u'--user-agent', u'Mozilla/5.0 (X11; Ubuntu; Linux x86_64...
遭遇HBKernel32.sys,53u1ttMe.2ys,HBTL.dll,HBSO2.dll,bcejnmfd.dll等2
caobihole
10-17 263
遭遇HBKernel32.sys,53u1ttMe.2ys,HBTL.dll,HBSO2.dll,bcejnmfd.dll等2 endurer 原创2008-10-17 第1版 部分文件信息: 文件说明符 : C:/WINDOWS/system32/Drivers/Beep.sys属性 : A---数字签名:Microsoft CorporationPE文件:是语言 : 英语(美...
遭遇HBKernel32.sys,aliimz.sys,System.exe,koauolte.exe,cho22.tmp等2
caobihole
11-11 155
遭遇HBKernel32.sys,aliimz.sys,System.exe,koauolte.exe,cho22.tmp等2 (续1) 因为时间的关系,不能对病毒样本文件做测试,这里把部分文件信息发上来。 文件说明符 : C:/WINDOWS/system32/HBmhly.dll属性 : A---数字签名:否PE文件:是获取文件版本信息大小失败!创建时间 : 2008-10-...
遭遇HBKernel32.sys,aliimz.sys,System.exe,koauolte.exe,cho22.tmp等1
Purpleendurer@CSDN
11-03 1498
遭遇HBKernel32.sys,aliimz.sys,System.exe,koauolte.exe,cho22.tmp等1 endurer 原创2008-11-03 第1版 一位朋友的说他的电脑登录后自动注销,请偶帮忙检修。 先尝试安全模式,故障依旧。 当userinit.exe被恶意替换后,就会出现这种情况。 于是用Win PE光盘启动,用File
遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys等2
caobihole
10-23 720
遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys等2 endurer 原创2008-10-23 第1版 分析好了,就开始修复。 先下载 bat_do 和 FileInfo,用FileInfo提取红色标记的文件信息,并用bat_do打包备份,延时删除。 重启电脑。 由于注册表编辑器reg...
dwshd.sys,EASYDOWNS.sys,HBKernel32.sys,QQPlatform.exe,RDPWD.sys,easy2.exe等
Purpleendurer@CSDN
11-25 2508
dwshd.sys,EASYDOWNS.sys,HBKernel32.sys,QQPlatform.exe,RDPWD.sys,easy2.exe等endurer 原创2008-11-25 第1版一位朋友的电脑今天出现了奇怪的问题,登录后不久桌面图标和任务栏消失,有时会出现蓝屏错误:stop c0000218 unknown hard error。请偶帮助检修。开机时按F8键,选择按最
遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys等1
Purpleendurer@CSDN
10-22 1433
遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys等1 endurer 原创2008-10-22 第1版 前天,一位同事说他电脑中的输入法图标不见了,请偶帮忙。打开控制面板—>区域和语言选项—>语言—>详细信息—>高级,发现高级文字服务已经勾上了,把勾去掉,应用,再勾上,点击应用,
fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys等2
Purpleendurer@CSDN
07-26 1109
fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys等2endurer 原创2008-07-26 第1版从pe_xscan 的 log 中,我们可以看到恶意程序对输入法管理程序ctfmon.exe进行了映像劫持,即: O26 - IFEO: ctfmon.exe -> SoundMan.exe所以c
遭遇secuers32.exe,Internet.exe,Explore.exe,pig.vbs,HBKernel.sys,ssqexd.sys等2
caobihole
09-08 77
遭遇secuers32.exe,Internet.exe,Explore.exe,pig.vbs,HBKernel.sys,ssqexd.sys等2 endurer 原创2008-09-08 第1版 HBKernel.sys这个东东以前也曾遇到过,见: fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys等1...
金山急救箱 v3.5.8.18
10-30
1.强力清除顽固木马病毒和未知病毒如“超级av终结者”,“HBkernel蝗虫系列病毒”,“灰鸽子、上兴等远程控制木马变种”等;2.全面修复系统破坏项目,比如:解决IE首页被改,杀毒软件不能打开,输入法无法输入中文...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9075
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3605
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7109
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1752
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2724
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4180
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
C语言经典小游戏之----推箱子
嵌入式技术开发
02-25 4656
在进行推箱子的实验中,可以使用对应的API函数来改变对应箱子的颜色,也需要根据,人在移动的过程中,可以通过方向键,并改变对应的颜色,从而实现控制人物的目的。 代码实现如下: #include<stdio.h> #include<stdlib.h> #include<string.h> #include<windows.h> #include<conio.h> int x = 0, y = 0; //存储当前使用的...
关于Dubbo的mock=true降级无法调用降级类ServiceMock的解决方案
weixin_45754452的博客
02-25 1468
问题 消费者使用mock=“true”,想调用TestServiceMock进行服务降级无法调用 原因 我的项目结构如下,首先要知道服务降级代码应该是谁执行的,服务降级是服务消费者也就是controller包处对应的服务执行的,因为我只是测试dubbo怎么使用,所以并没有分多模块,但完全可以把一个包理解为一个模块,再看下面配置文件 为什么可以把一个包当成一个模块呢,因为我把配置文件的scan改成controller包然后启动一个服务器,即消费者,如果把scan改成service则可以启动服务提供者服务器
Vue---Vue基础
前端与计算机相关知识的分享,博主的qq523235674
02-25 1480
一.Vue概述 二.Vue的基本使用 2.1Vue.js之hello world 基本实例 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <title>Document</title> </.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值