手动清理"bnmhggo0.dll"

由于电脑前几天还原,没有安装任何的杀毒软件,所以一直裸奔到现在,加这次已经是第二次中毒了....,发现裸奔还真有点不大方便 ,不过还好,每次都能把病毒清理出去!好,先看下今天的主角:bnmhggo0.dll

bnmhggo0.dll,其实我也不知道是什么病毒生成该文件的,网上说该病毒主要任务是盗取 “卓越之剑”、”R2” 、”生肖传说” 、”机战” 、“大话2”、”完美国际” 以及”魔兽”等网络游戏的“帐号”和“密码”,不过我不担心,我不玩网络游戏,不怕它盗我的帐号,不过话说回来了,有病毒在电脑里总觉得不爽,当然得把它给清理出局了!

先来看看这家伙偷偷进入电脑后主要做了些什么好事!

该病毒在目录%SystemRoot%\system32下释放动态库“bnmhggo0.dll”,取操作系统文件时间作为病毒文件的时间以增强自身隐蔽性；遍历进程查找“explorer.exe”，申请内存空间将动态库”bnmhggo0.dll”写入，使用远程线程激活病毒写入的代码实现注入，以逃避常规杀毒软件的查杀；修改如下注册表健值使得explorer.exe及其子进程启动时自动加载动态库bnmhggo0.dll：

项：
HKLM\SOFTWARE\Classes\CLSID\{C3D16072-B843-2E1B-450B-50EADDC8EB63}\
键值：VcmnDllModuleName
指向数据：C:\WINDOWS\system32\bnmhggo0.dll
项：
HKLM\SOFTWARE\Classes\CLSID\{C3D16072-2E1B-450B-B843-50EADDC8EB63}\InprocServer32\
指向数据：C:\WINDOWS\system32\bnmhggo0.dll
项：
HKLM\SOFTWARE\Classes\CLSID\{C3D16072-B843-2E1B-450B-50EADDC8EB63}\
键值：VcmnSobjEventName
指向数据：BNMJJHYUIOPTREMN_0

动态库“bnmhggo0.dll”装载执行后, 遍历进程查找以下安全软件进程将其关闭，使用映像劫持手段劫持以下安全软件：

360tray.exe
AntiArp.exe
kavstart.exe
kissvc.exe
KVMonXP.kxp
KVsrvxp.exe
kwatch.exe
QQDoctor.exe
Ravmon.exe
RavMond.exe
RavTask.exe
safeboxtray.exe

将其重定向到“ntsd –d”这条命令,也就是让你电脑上这些杀毒软件失效啦! 枚举窗口查找网络游戏“卓越之剑”、”R2” 、”生肖传说” 、”机战” 、“大话2”、”完美国际”、”魔兽”的登录窗口，使用API函数“SetWindowsHookExA”设置钩子获取用户输入的信息，将盗窃到的游戏“账号”和“密码”通过“HTTP协议”发送到盗号者收信空间中.

下图是我电脑上的:

好了,知道这些后我们就可以开始动手清理了:

用到的工具:sreng2,大家可以到官方网站下载(http://www.kztechs.com)

1.重起电脑,按F8进入安全模式(有些电脑不一定是F8,自己先确认)
2.打开注册表,搜索"bnmhggo0.dll",找到后直接删除该项.

具体如下:
1).点击"开始"--->选择"运行"---->然后输入"regedit"---->回车,打开注册表
2).选中"我的电脑"---->单击莱单栏里的"编辑"---->在下拉莱单中选择"查找"---->在输入框中输入"bnmhggo0.dll"后开始查找,搜索到后直接删除该键值,然后继续查找,直到提示搜索完毕.

3.到%SystemRoot%\system32下找到bnmhggo0.dll,将其删除

4.打开sreng2,选中"启动项目",然后删除被其劫持的安全软件,一般sreng2会用红色字体现这些项目有问题的.可看上面我的中毒图片.另外当然也要删除数据为"C:\WINDOWS\system32\bnmhggo0.dll"项目了,主要是它在捣乱的嘛

OK,问题解决,重起电脑!

祝你好运!