» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【killvxk】HBKernel病毒 一点聊天记录和一些关于安全软件的哀伤   作者: 标题: 【killvxk】HBKernel病毒 一点聊天记录和一些关于安全软件的哀伤 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【killvxk】HBKernel病毒 一点聊天记录和一些关于安全软件的哀伤 主动防御毁灭者killvxk(86879759) 14:17:53 现在杀毒软件的问题应该是怎么修复病毒的破坏，和保护用户资料 主动防御毁灭者(86879759) 14:18:18 问题是他们完全做不到，或者说一旦病毒感染成功，他们就歇菜了 偷懒请用F5(316100599) 14:18:19 主动防御毁灭者(86879759) 14:18:31 是彻底完全，完全彻底的歇菜 XXXXXXXXXXXXXX<xxxxxxxxxixxxxxxxx@qq.com> 14:19:36 主动防御毁灭者(86879759) 14:19:47 不能更新，不能发现...用户自己受害后只能选择重装...用户关键信息被病毒盗取...杀毒软件根本没有做什么有效地事情，他们只会炒作和赚钱 主动防御毁灭者(86879759) 14:20:31 另外就是占用系统资源，占用网络来广告 主动防御毁灭者(86879759) 14:24:09 360最近查杀很不行——某同学中了HBKernel.dll用360扫描出15个东西，他清理掉后用360再扫描看没有了，但是用卡巴文件扫描版（我们精简了卡巴的功能，只留下扫描和清理）一扫发现60多个... 主动防御毁灭者(86879759) 14:25:01 这下清理干净了，再开Windows清理助手，我靠还有25个非文件夹的东西 主动防御毁灭者(86879759) 14:25:27 再清理，但是重启后还有——MJ粉碎全部都失败 主动防御毁灭者(86879759) 14:25:56 接着换XDosDel清理工具，终于歇菜了这个东西 主动防御毁灭者(86879759) 14:26:52 歇菜后不就，发现居然有数十个svchost.exe进程，于是重装系统 主动防御毁灭者(86879759) 14:27:16 这里说明了一点现在的东西只要中了还是重装的好 主动防御毁灭者(86879759) 14:27:22 别妄想清理了 HBKernel系列病毒会下载系列盗号木马 按照微点警示信息重启系统 系统重启后处理成功！          微点主动防御软件主要通过程序行为分析判断技术，实时监控系统中运行的程序并对其行为进行分析判断，当程序试图做出病毒行为时，微点软件会立即结束有害程序运行并向用户报警告知。依据这一特点，微点软件发现木马程序被Rootkit保护时，会自动分析追源查杀在后台保护木马的Rootkit黑手，将木马和Rootkit驱动一并清除。 驱动型木马病毒采用了Rootkit驱动保护技术，由于其启动优先级比较高，所以部分软件可能无法将之顺利清除。微点主动防御软件核心部分嵌入系统内核，开机时可以实现抢先加载，以确保有效清除Rootkit以及被其保护的各种病毒程序。 微点：Trojan-PSW.Win32.OnLineGames.cpiw Kaspersky ：Trojan.Win32.SmallGame.a SystemRoot\System32\Drivers\HBKernel32.sys 【金山毒霸】HBKernel系列恶性病毒专杀工具发布 近日不少用户受HB***.sys/HB***.dll系列病毒影响较为严重 此类病毒具备以下特性 原病毒运行后释放HB***.dll,system.exe到%sys32dir%下，释放HBKernel32.sys到%sys32dir%\drivers下 检测： system.exe启动项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HBService32； HBKernel32.sys启动项： 服务 HBKernel32； %sys32dir%\drivers下是否存在HBKernel32.sys; 查找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs中是否存在HB****.dll的启动项； 清除： 删除HBKernel32.sys，system.exe； 查找%sys32dir%下所有名为HB****.dll的文件，检查文件日期和大小，很不规则的命名，日期大小又相近的，可全部删除。（这里指手工方法，当然毒霸会根据病毒特征准确判定） 删除病毒的其它加载项。 删除名为HBKernel32的服务； 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HBService32； 典型的日志分析见论坛的帖子 http://bbs.duba.net/thread-21977174-1-1.html 针对此病毒，毒霸引擎组率先推出专杀工具，独家在论坛发布，供受此病毒困扰的朋友们解除病毒威胁。 如果运行本程序有问题，请在此跟贴，研发人员会第一时间解决。 KillHBKernel32_Troj.rar (13.86 KB)  KillHBKernel32_Troj.rar (13.86 KB) 专杀工具下载次数: 59 下载地址： http://bbs.duba.net/attachment.php?aid=16215974 2008-9-24 18:03 另外，利用该工具解决HB系列病毒之后，其它病毒推荐使用AV终结者专杀和清理专家来解决。 下载地址： http://bbs.duba.net/thread-21882797-1-1.html ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-9-25 10:10 yurong7777777 高级用户 积分 536 发帖 534 注册 2008-9-12 #2   学习学习，就是看不太懂 ※ ※ ※ 本文纯属【yurong7777777】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-9-25 21:53 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号