SiZhu.exe、HBKernel32.sys、HBTL.dll、HBmhly.dll、llwzjy08092

发布时间：2012-04-15 01:32:24作者：知识屋

网友发来邮件：
中毒症状:
有SIZHU.EXE,双击打不开硬盘,我用USB专杀工具杀掉了，现在可以打开硬盘,可是用CTRL+ALT+DEL进不了看进程;
我用NOD32,可是安装后不能更新,ID截取工具没用，老说连不上网络,这个杀毒工具根不杀不掉我电脑里的病毒...
还有,我用360顽固专杀,扫描出TROJAN/PAS...及TROJAN/ONL...,可是就是杀不掉,杀了还有...
另外,开了IE,都无法正常上网,老弹出别的网站(多个)...
注:我都是在断网的安全模式下杀,可是还是杀不掉...

经过分析，方法如下：

1、用Unlocker 1.8.5

(可到down.45it.com下载)删除以下文件，若有些文件没有则跳过：

C:windowssystemllwzjy080923.exe
C:windowssystem32SiZhu.exe
System.exe
C:windowssystem3247E0n4.dll
C:windowssystem32r2wIqo.dll
C:WINDOWSsystem32wioabh.dll
C:Program FilesCommon FilesMenapuinaiiwo.exe
C:WINDOWSsystem32ywmleg.dll
C:WINDOWSsystem32kmulki.dll
C:windowssystem32driversacpidisk.sys
C:WINDOWSsystem32driversBTNetFilter.sys
C:WINDOWSsystem32driversdump_wmimmc.sys
C:WINDOWSsystem32DRIVERSepfwtdir.sys
C:WINDOWSsystem32DRIVERSHBKernel32.sys
C:WINDOWSsystem32driversnkksl.sys
D:工具QQnpkycryp.sys
C:WINDOWSsystem32driversvozdj.sys
C:Documents and SettingsAll UsersApplication DataMicrosoftMedia

Playerobjwmpobj.sys
C:windowssystem32HBTL.dll
C:windowssystem32HBmhly.dll
C:windowssystem32HBWOW.dll

C:autorun.inf
D:autorun.inf
E:autorun.inf
F:autorun.inf

2、使用Autorun病毒防御者正式版进行全盘查杀AUTO病毒。并运行内置工具修复IEFO映象挟持。（也可用IFEO映像挟持修复程序：可到down.45it.com下载）（如果AUTO病毒较历害，这步也可以放在第1步执行）

3、用SREng删除以下【注册表】项(没有则跳过)：
SRENG2.5可到down.45it.com下载

<YhgR><%systemroot%system32rundll32.exe %systemroot%system32

47E0n4.dll,DllRegisterServer>

<vSaQ><%systemroot%system32rundll32.exe %systemroot%system32

r2wIqo.dll,DllRegisterServer>

<AppInit_DLLs><HBWOW.dll,HBTL.dll,HBmhly.dll>
注意此项：修复<AppInit_DLLs> 不要把<AppInit_DLLs>删除掉，是将以下此项

中的<HBWOW.dll,HBTL.dll,HBmhly.dll>全部删除，不包括<>

<IFEO[360hotfix.exe]>ntsd -d
<IFEO[360safebox.exe]>ntsd -d
<IFEO[AntiArp.exe]>ntsd -d
<IFEO[arvmon.exe]>ntsd -d
<IFEO[AutoGuarder.exe]>ntsd -d
<IFEO[findt2005.exe]>ntsd -d
<IFEO[IsHelp.exe]>ntsd -d
<IFEO[killhidepid.exe]>ntsd -d
<IFEO[kvfw.exe]>ntsd -d
<IFEO[KVScan.kxp]>ntsd -d
<IFEO[KvXP_1.kxp]>ntsd -d
<IFEO[RavCopy.exe]>ntsd -d
<IFEO[RavStore.exe]>ntsd -d
<IFEO[ravt08.exe]>ntsd -d
<IFEO[rfwolusr.exe]>ntsd -d
<IFEO[safebank.exe]>ntsd -d
<IFEO[safeboxTray.exe]>ntsd -d
<IFEO[smartassistant.exe]>ntsd -d
<IFEO[SREngPS.exe]>ntsd -d
<IFEO[syscheck.exe]>ntsd -d
<IFEO[Syscheck2.exe]>ntsd -d
<IFEO[ToolsUp.exe]>ntsd -d
<IFEO[修复工具.exe]>ntsd -d
................

4、使用SRENG,启动项目，服务，【win32服务应用程序】,禁用以下项（选中后,在启动类型中选择Disabled,修改启动类型,最后点击设置即可。）

[BlueSoleil Hid Service / BlueSoleil Hid Service]
[hevhee / hevhee]
[Local Access Connection Application Program Interface / lasapi]
[Windows Time / W32Time]
[Windows Times / W32Times]

5、使用SRENG，启动项目，服务，【驱动程序】，禁用以下项（选中后,在启动类型中选择Disabled,修改启动类型,最后点击设置即可。）

[acpidisk / acpidisk]
[Bluetooth HID Enumerator / BTHidEnum]
[Bluetooth Network Filter / BTNetFilter]
[dump_wmimmc / dump_wmimmc]
[epfwtdir / epfwtdir]
[HBKernel32 Driver / HBKernel32]
[nkksl / nkksl]
[npkycryp / npkycryp]
[vozdj / vozdj]
[wmpobj / wmpobj]

6、重启电脑可重复执行

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）