HBKernel32.sys,System.exe,wrm32.dll的清除指南

都要出差了 还不让我消停。我怎么这么命苦啊。。本不想更新的，还是记录一下。

前言：买个笔记本容易吗？还得借给别人用。拿回来就是TMD一堆病毒！！！！！！！郁闷！！！！！


System.exe 卡巴斯基报为 Virus.Win32.Alman.b 是个文件感染型的病毒。所有硬盘的EXE文件都被感染。所幸，卡巴斯基可以“修复”。
不过最好还是用Dr.Web ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe，

病毒显著特征：任务管理器无法调出（被禁用）；系统死慢；系统时间被修改成2003年某月某日。SREng日志中可见异常。大量DLL被插入。
=========

如下为杀毒指南：

杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

1.用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。
下载地址: http://hi.baidu.com/teyqiu/blog/item/291690efc3f3b5eece1b3e5a.html
C:\WINDOWS\system32\wrm32.dll
C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\mduaey.dll
C:\WINDOWS\system32\eskisl.dll
C:\WINDOWS\system32\lensch.dll
C:\WINDOWS\system32\micsus.dll
C:\WINDOWS\system32\stepps.dll
C:\WINDOWS\system32\johandy.dll
C:\WINDOWS\system32\jolndyo.dll
C:\WINDOWS\system32\aotoppt.dll
C:\WINDOWS\system32\catower.dll
C:\WINDOWS\system32\wllame.dll
C:\WINDOWS\system32\pewire.dll
C:\WINDOWS\system32\comboaus.dll
C:\WINDOWS\system32\ddserh.dll
C:\WINDOWS\system32\jhfrxz.dll
C:\WINDOWS\system32\fmcvxy.dll
C:\WINDOWS\system32\zsdgff.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\fsrgeb.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\rmqlgvef.dll
C:\WINDOWS\system32\byspfvrb.dll
C:\WINDOWS\system32\vtzlwsqo.dll
C:\WINDOWS\system32\sqregppt.dll
C:\WINDOWS\system32\ouagimgy.dll
C:\WINDOWS\system32\pyahigrl.dll
C:\WINDOWS\system32\ithvzkqx.dll
C:\WINDOWS\system32\jmsdubkb.dll
C:\WINDOWS\system32\wllgiwga.dll
C:\WINDOWS\system32\azffsrby.dll
C:\WINDOWS\system32\qkzbtbph.dll
C:\WINDOWS\system32\umtgmcir.dll
C:\WINDOWS\sysocmgr.dll
C:\WINDOWS\system32\DRIVERS\HBKernel32.sys
C:\WINDOWS\system32\drivers\eth8023.sys

2.重启计算机后，用工具 SREng 进行如下的操作:
下载及其使用方法看下面的链接【有图解】，看懂再下手操作！
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html

==================================
启动项目 -->注册表 的如下项删除

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <HBService32><System.exe> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><mduaey.dll eskisl.dll lensch.dll micsus.dll stepps.dll johandy.dll jolndyo.dll aotoppt.dll catower.dll wllame.dll pewire.dll comboaus.dll> [N/A] 此项不是删除，是编辑为空。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\ShellExecuteHooks]
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll> []
    <{7914E0AA-ECCB-4311-B584-C49538227824}><C:\WINDOWS\system32\jhfrxz.dll> []
    <{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\WINDOWS\system32\fmcvxy.dll> []
    <{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}><C:\WINDOWS\system32\zsdgff.dll> []
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
    <{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}><C:\WINDOWS\system32\fsrgeb.dll> []
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll> []
    <{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}><C:\WINDOWS\system32\rmqlgvef.dll> []
    <{65056902-6E7B-4bd7-95BA-688DB5FA5BEB}><C:\WINDOWS\system32\byspfvrb.dll> []
    <{EB9660D8-E1CD-4ff0-B4A9-00CD907F928A}><C:\WINDOWS\system32\vtzlwsqo.dll> []
    <{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\sqregppt.dll> []
    <{D1CC9DC6-F0BC-40fc-9552-E497B05E05B8}><C:\WINDOWS\system32\ouagimgy.dll> []
    <{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}><C:\WINDOWS\system32\pyahigrl.dll> []
    <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\ithvzkqx.dll> []
    <{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}><C:\WINDOWS\system32\jmsdubkb.dll> []
    <{F0930A2F-D971-4828-8209-B7DFD266ED44}><C:\WINDOWS\system32\wllgiwga.dll> []
    <{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}><C:\WINDOWS\system32\azffsrby.dll> []
    <{434FA69C-5F0A-42e1-82B8-10AF2C8E53C6}><C:\WINDOWS\system32\qkzbtbph.dll> []
    <{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\system32\umtgmcir.dll> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

ShellServiceObjectDelayLoad]
    <sysocmgr><C:\WINDOWS\sysocmgr.dll> [Microsoft Corporation]
    <rmqlgvef.dll><C:\WINDOWS\system32\rmqlgvef.dll> []
    <byspfvrb.dll><C:\WINDOWS\system32\byspfvrb.dll> []
    <vtzlwsqo.dll><C:\WINDOWS\system32\vtzlwsqo.dll> []
    <sqregppt.dll><C:\WINDOWS\system32\sqregppt.dll> []
    <ouagimgy.dll><C:\WINDOWS\system32\ouagimgy.dll> []
    <pyahigrl.dll><C:\WINDOWS\system32\pyahigrl.dll> []
    <ithvzkqx.dll><C:\WINDOWS\system32\ithvzkqx.dll> []
    <jmsdubkb.dll><C:\WINDOWS\system32\jmsdubkb.dll> []
    <wllgiwga.dll><C:\WINDOWS\system32\wllgiwga.dll> []
    <azffsrby.dll><C:\WINDOWS\system32\azffsrby.dll> []
    <qkzbtbph.dll><C:\WINDOWS\system32\qkzbtbph.dll> []
    <umtgmcir.dll><C:\WINDOWS\system32\umtgmcir.dll> []

==================================
启动项目 -->服务-->驱动程序的如下项删除
[eth8023 / eth8023][Stopped/Manual Start]
<\SystemRoot\system32\drivers\eth8023.sys><N/A>

[HBKernel32 Driver / HBKernel32][Running/Boot Start]
<\SystemRoot\system32\DRIVERS\HBKernel32.sys><N/A>

杀毒成功后再修复Winsock

Winsock 提供者
MSAPI Tcpip [TCP/IP]
    C:\WINDOWS\system32\wrm32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    C:\WINDOWS\system32\wrm32.dll(, N/A)