近期最新变种System.exe病毒(HB*.dll)及rpcss.dll被感染的清除方法!
中毒现象:杀毒软件不能启用,不能复制粘贴,语言栏没有了,任务栏不显示窗口,任务管理器看不到用户名,有些软件按钮标签显示成小方块等等
原病毒运行后释放HB***.dll,system.exe到%sys32dir%下,释放HBKernel32.sys到%sys32dir%\drivers下
检测:
system.exe启动项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HBService32;
HBKernel32.sys启动项: 服务 HBKernel32;
%sys32dir%\drivers下是否存在HBKernel32.sys;
查找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs中是否存在HB****.dll的启动项;
检测:
system.exe启动项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HBService32;
HBKernel32.sys启动项: 服务 HBKernel32;
%sys32dir%\drivers下是否存在HBKernel32.sys;
查找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs中是否存在HB****.dll的启动项;
查杀方法:
1、用最新版本QQKAV2008(Build 1125)注入查杀两遍以上;(QQKav官方下载25日正式推出)
2、由于此病毒感染并替换了系统正常文件,所以需要用QQKAV的“开机杀毒”功能来替换为正常文件;如果不替换为正
常文件,会导致重复中毒并无法将病毒清除干净。
替换步骤:
(1)、下载相应系统的正常文件包(附件)并解压至本机硬盘某文件夹(以 D:\abc 文件夹为例);
(2)、在“开机杀毒”中加入以下几行代码:
d:\abc\conime.exe*c:\windows\system32\conime.exe
d:\abc\ctfmon.exe*c:\windows\system32\ctfmon.exe
d:\abc\rpcss.dll*c:\windows\system32\rpcss.dll
d:\abc\userinit.exe*c:\windows\system32\userinit.exe
d:\abc\ctfmon.exe*c:\windows\system32\ctfmon.exe
d:\abc\rpcss.dll*c:\windows\system32\rpcss.dll
d:\abc\userinit.exe*c:\windows\system32\userinit.exe
添加好以上内容,点击“保存修改并重启计算机”按钮后,按提示重启计算机,即可完全清除此病毒!
附件:
再次重启后正常!
