遭遇HBKernel32.sys,53u1ttMe.2ys,HBTL.dll,HBSO2.dll,bcejnmfd.dll等1

最新推荐文章于 2025-08-22 17:08:51 发布
最新推荐文章于 2025-08-22 17:08:51 发布 · 186 阅读 · 0
文章标签:

#操作系统

遭遇HBKernel32.sys,53u1ttMe.2ys,HBTL.dll,HBSO2.dll,bcejnmfd.dll等1

endurer 原创
2008-10-16 第1

昨天,一位同事说他的电脑开机后桌面一片空白,任务栏和桌面图标都未显示。请偶帮忙检修。

在同事的电脑上打开任务管理器检查,没有发现可疑的进程,而且explorer.exe已经运行了。

先把explorer.exe进程终止掉,然后再运行explorer.exe,不料任务管理器假死。尝试运行cmd.exe,WinRAR.exe,也是如此。

只好重启电脑到安全模式,打算用msconfig.exe检查开机启动项,不料根本找不到msconfig.exe。只要直接运行注册表编辑器regedit.exe来检查。

很快就发现了:

O4 - HKLM/../Run: [HBService32] System.exe

确认是中标了,把值改为:;System.exe

记得这个东东还有一个服务项,找到并将启动方式改为4(禁用):

O23 - 服务: HBKernel32 (HBKernel32 Driver) - system32/drivers/HBKernel32.sys | 2008-10-13 5:12:50(禁用)

重启电脑,这次桌面显示正常了。

下载 pe_xscan 扫描 log 并分析,发现如下可疑项(进程模块部分有省略):

pe_xscan 08-08-01 by Purple Endurer 
2008-10-15 16:6:41 
Windows XP Service Pack 3(5.1.2600) 
MSIE:7.0.5730.11 
管理员用户组 
正常模式

[System Process]  0 
   2008-10-13 5:14:38 
   2008-10-13 5:22:48 
   2008-10-13 5:18:21 
   2008-10-13 5:18:1 
   2008-10-13 5:17:19 
   2008-10-13 5:15:59 
   2008-10-13 5:15:39 
C:/WINDOWS/system32/winlogon.exe 956  2004-8-17 4:0:0 
   2008-10-13 5:13:56 
   2008-10-13 5:14:38 
C:/WINDOWS/system32/services.exe 1004  2004-8-17 4:0:0 
   2008-10-13 5:13:56 
   2008-10-13 5:14:38 
C:/WINDOWS/system32/lsass.exe 1016  2004-8-17 4:0:0 
   2008-10-13 5:13:56 
   2008-10-13 5:14:38 
O2 - BHO - {F6A454AE-156A-415E-9F89-3795677A8A91} = 2008-10-13 5:22:48 
O4 - HKLM/../Run: [HBService32]
O4 - HKLM/../Policies/Explorer/Run: [nwiz]
O20 - AppInit_DLLs =,,,,, 
O21 - SSODL - flirxttw.dll(0) - {F0930A2F-D971-4828-8209-B7DFD266ED44} = 2008-10-13 5:15:39 
O21 - SSODL - tpphbrik.dll(B) - {A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9} = 2008-10-13 5:15:59 
O21 - SSODL - uhtcnwqw.dll(3) - {DA56B183-A731-402b-9235-2CB8803E212D} = 2008-10-13 5:17:19 
O21 - SSODL - bcejnmfd.dll(1) - {2CB77746-8ECC-40ca-8217-10CA8BE5EFC8} = 2008-10-13 5:18:1 
O21 - SSODL - ozmazluz.dll(B) - {65056902-6E7B-4bd7-95BA-688DB5FA5BEB} = 2008-10-13 5:18:21 
O23 - 服务: aliimz () - (手动) 
O23 - 服务: Beep (Beep) - 2008-10-13 13:12:45(禁用) 
O23 - 服务: HBKernel32 (HBKernel32 Driver) -  2008-10-13 5:12:50(禁用) 
O23 - 服务: IIS Manager (IIS Manager ) -(手动) 
O23 - 服务: SZNB (SZNB) -(手动)
O24 - ShlExecHook: [4] - {F0930A2F-D971-4828-8209-B7DFD266ED44} = 2008-10-13 5:15:39 
O24 - ShlExecHook: [9] - {A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9} = 2008-10-13 5:15:59 
O24 - ShlExecHook: [D] - {DA56B183-A731-402b-9235-2CB8803E212D} = 2008-10-13 5:17:19 
O24 - ShlExecHook: [8] - {2CB77746-8ECC-40ca-8217-10CA8BE5EFC8} = 2008-10-13 5:18:1 
O24 - ShlExecHook: [B] - {65056902-6E7B-4bd7-95BA-688DB5FA5BEB} = 2008-10-13 5:18:21 
O24 - ShlExecHook: [] - {F6A454AE-156A-415E-9F89-3795677A8A91} = 2008-10-13 5:22:48

下载 FileInfo 和 bat_do。用FileInfo提取可疑文件信息,用bat_do打包备份并延迟删除。

有些文件没有找到,怀疑是同事电脑中的趋势科技的杀软干掉了。

下载、安装、运行瑞星卡卡安全助手,清理病毒启动项。

iteye_6637
关注
金山急救箱 v3.5.8.18
10-30
1.强力清除顽固木马病毒和未知病毒如“超级av终结者”,“HBkernel蝗虫系列病毒”,“灰鸽子、上兴等远程控制木马变种”等;2.全面修复系统破坏项目,比如:解决IE首页被改,杀毒软件不能打开,输入法无法输入中文...
遭遇HBKernel32.sys,53u1ttMe.2ys,HBTL.dll,HBSO2.dll,bcejnmfd.dll2
caobihole
10-17 306
遭遇HBKernel32.sys,53u1ttMe.2ys,HBTL.dll,HBSO2.dll,bcejnmfd.dll2 endurer 原创2008-10-17 第1版 部分文件信息: 文件说明符 : C:/WINDOWS/system32/Drivers/Beep.sys属性 : A---数字签名:Microsoft CorporationPE文件:是语言 : 英语(美...
遭遇HBKernel32.sys,aliimz.sys,System.exe,koauolte.exe,cho22.tmp等2
Purpleendurer@优快云
11-11 3758
遭遇HBKernel32.sys,aliimz.sys,System.exe,koauolte.exe,cho22.tmp等2 (续1) 因为时间的关系,不能对病毒样本文件做测试,这里把部分文件信息发上来。 文件说明符 : C:/WINDOWS/system32/HBmhly.dll属性 : A---数字签名:否PE文件:是获取文件版本信息大小失败!创建时间 : 2008-
遭遇HBKernel32.sys,aliimz.sys,System.exe,koauolte.exe,cho22.tmp等1
Purpleendurer@优快云
11-03 1538
遭遇HBKernel32.sys,aliimz.sys,System.exe,koauolte.exe,cho22.tmp等1 endurer 原创2008-11-03 第1版 一位朋友的说他的电脑登录后自动注销,请偶帮忙检修。 先尝试安全模式,故障依旧。 当userinit.exe被恶意替换后,就会出现这种情况。 于是用Win PE光盘启动,用File
遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys2
caobihole
10-23 904
遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys2 endurer 原创2008-10-23 第1版 分析好了,就开始修复。 先下载 bat_do 和 FileInfo,用FileInfo提取红色标记的文件信息,并用bat_do打包备份,延时删除。 重启电脑。 由于注册表编辑器reg...
dwshd.sys,EASYDOWNS.sys,HBKernel32.sys,QQPlatform.exe,RDPWD.sys,easy2.exe等
Purpleendurer@优快云
11-25 2636
dwshd.sys,EASYDOWNS.sys,HBKernel32.sys,QQPlatform.exe,RDPWD.sys,easy2.exe等endurer 原创2008-11-25 第1版一位朋友的电脑今天出现了奇怪的问题,登录后不久桌面图标和任务栏消失,有时会出现蓝屏错误:stop c0000218 unknown hard error。请偶帮助检修。开机时按F8键,选择按最
遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys1
Purpleendurer@优快云
10-22 1528
遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys1 endurer 原创2008-10-221版 前天,一位同事说他电脑中的输入法图标不见了,请偶帮忙。打开控制面板—>区域和语言选项—>语言—>详细信息—>高级,发现高级文字服务已经勾上了,把勾去掉,应用,再勾上,点击应用,
fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys2
Purpleendurer@优快云
07-26 1138
fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys2endurer 原创2008-07-26 第1版从pe_xscan 的 log 中,我们可以看到恶意程序对输入法管理程序ctfmon.exe进行了映像劫持,即: O26 - IFEO: ctfmon.exe -> SoundMan.exe所以c
遭遇secuers32.exe,Internet.exe,Explore.exe,pig.vbs,HBKernel.sys,ssqexd.sys2
Purpleendurer@优快云
09-08 1194
遭遇secuers32.exe,Internet.exe,Explore.exe,pig.vbs,HBKernel.sys,ssqexd.sys2endurer 原创2008-09-08 第1版 HBKernel.sys这个东东以前也曾遇到过,见:fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys
fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys1
caobihole
07-23 172
fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys1 endurer 原创2008-07-23 第1版 一位朋友说他的电脑昨晚中了病毒,系统曾提示系统文件被替换,要求插入windows安装光盘;打开IE时系统失去响应……用瑞星查杀病毒后,输入法图标不见了,请偶帮忙检修。 用 pe_xscan 扫描 log 并...
【实时Linux实战系列】基于实时Linux的自适应控制系统
望获实时Linux系统
08-19 1088
本文介绍了基于实时Linux的自适应控制系统开发技术,重点阐述了其在工业自动化、航空航天等领域的应用价值。文章详细说明了环境准备、案例实现步骤和调试方法,包括温度自适应控制系统的开发过程,涉及实时任务调度、传感器数据采集和PWM控制等关键技术。同时提供了常见问题的解决方案和性能优化建议,为开发者掌握这一技术提供了实用指导。该技术能显著提升系统响应速度和稳定性,适用于需要高精度实时控制的各类场景。
MySQL数据库第一章
2301_76169459的博客
08-20 1056
MySQL数据库概述 MySQL是一种开源免费的关系型数据库管理系统,具有小巧、功能齐全、使用便捷等特点,适用于中小型甚至大型应用。数据库分为关系型(如MySQL、Oracle)和非关系型(如Redis、MongoDB)两类。MySQL通过SQL语言进行操作,包含数据定义语言(DDL)、数据操作语言(DML)、数据查询语言(DQL)和数据控制语言(DCL)。创建数据表时需要指定列类型(数值、字符串、日期时间等)和字段属性,并通过命令行或工具进行管理。
[特殊字符] 潜入深渊:探索 Linux 内核源码的奇幻之旅与生存指南
kernelguru的博客
08-22 443
Linux内核源码探索指南 Linux内核源码是驱动数字世界的核心工程杰作,全球开发者协作的典范。关键目录包括:arch/(CPU架构相关)、drivers/(硬件驱动)、fs/(文件系统)、kernel/(进程调度等核心功能)。建议开发者通过具体问题切入(如系统调用流程),善用cscope/ctags等工具,结合官方文档逐步深入。内核开发采用邮件列表协作模式,补丁需经严格审查。初学者应注重理解主线逻辑,从简单驱动开始实践,警惕并发问题。探索内核源码是理解计算机系统本质的绝佳途径,虽具挑战但收获巨大。
Linux查询符合关键字的日志
Meta39的博客
08-22 59
Linux查询符合关键字的日志
QEMU简介与入门教程
Yeats_Liao的博客
08-19 1025
QEMU 入门教程
介绍几款 Windows 应用调试的小工具
云水木石
08-20 837
spy++ 有 32 位和 64 位版本,spy++.exe 是 32 位程序,spyxx_amd64.exe 是 64 位程序,根据要调试的 Windows 应用程序是 32 位还是 64 位,启动对应的 spy++ 程序。有时在 wine 日志中,会记录窗口句柄,我们可以根据窗口的句柄定位到具体的窗口。这是通过 wine 运行 spy++ 的窗口信息,可以看出,Spy++ 可以列出系统中所有正在运行的窗口,以树状显示窗口层次,可以非常清晰的看到窗口的父子关系,并显示它们的窗口句柄、标题等信息。
HarmonyOS 中的 泛型类和泛型接口
不懂先生的博客
08-19 342
在HarmonyOS的ArkTS中,泛型类和泛型接口是实现代码复用和类型安全的重要机制,它们允许组件在定义时不指定具体类型,而是在使用时动态指定。
Linux系统安装llama-cpp并部署ERNIE-4.5-0.3B
最新发布
knoka的博客
08-22 483
Linux系统安装llama-cpp并部署ERNIE-4.5-0.3B
RK3568 Linux驱动学习——设备树下 LED 驱动
xhj12138的博客
08-20 913
rk3568通过设备树完成LED驱动
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值