流行病毒查杀宝典 9月号 Vol.2

上月排名第二的HBKernel系列恶性病毒本月上升至排行榜第一位。该病毒会下载系列盗号木马，典型的表现 是清理专家会检测到大量DLL文件注入。 原病毒运行后释放HB***.dll,system.exe到%sys32dir%下，释放HBKernel32.sys到%sys32dir%drivers下。

开始查杀…… 清除病毒的内存占用……… 未清除病毒：C:WINDOWSSYSTEM32SSUP.DLL.请用QQKav的"工具"→ "粉碎文件"功能来彻底清除病毒：C:WINDOWSSYSTEM32SSUP.DLL 查杀完毕！！ 注册表已正常；IE已正常！ 我怎么也删不了？？

server.exe是Novell服务组件相关程序，用于Novell服务监听。注意：server.exe也可能是Kodorjan后门的一部分，允许 攻击者访问你的文件和计算机。说明，C:WINDOWSsystem32server.exe正常情况下是系统的东东，（具体比较看图）只所以说这个病毒诡异，其一是病 毒运行后会替换正常的server.exe。用任务管理器可以终止它的进程，但立即会死灰复燃。

DLL文件：wndhook or wndhook.dll。DLL名称：TROJAN.WIN32.AGENT.SSP。分析：wndhook.dll是感染病毒 TROJAN.WIN32.AGENT.SSP的文件，具体位置：C:WINDOWSsystem32Com.1.7WndHook.dll

不停的弹出win1企图利用IE自动执行什么的,点了否后一会又弹出,并且名字不停的变 win1 winA winB什么的,生成的目录 在WINDOWS/TEMP下和C:/Documents and Settings/administrator/local setting/temp下，把生成的文件删除后还有，只要连上网线就会有，断开网 线就没有。瑞星查不到，木马清道夫查不到，木马克星能查到。解决方法1： 删除启动--注册表项：

DLL文件：autolive or autolive.dll。DLL名称：Hack/Win32.Huigezi。分析：autolive.dll是灰鸽子木马程序 Hack/Win32.Huigezi的文件，具体位置：C:PROGRA~1yokautolive.dll。出品者：未知N/A。属于：Hack/Win32.Huigezi

木马运行后复制自身到系统目录下：%Windows%systemSMSS.exe。并释放dll：。%Windows%systemhook.dll。在当前位置释 放驱动fOxkb.sys： 复制内容到剪贴板木马隐藏自身进程，在任务管理器、ProceXP等进程管理程序中不可见。创建启动项：

使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上 点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等 ）。

问题：刚中的Ｕ盘上带的毒，刚刚用江民杀了一遍，估计没清完。解决方案：根据SREng扫描日志请按照如下步骤，尝试删 除和修复。1.建议使用XDelBox删除以下文件：(XDelBox1.3下载)。使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择 从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存 储介质（包括U盘，MP3，手机存储卡等）。

CNRN.dll是国风因特软件（北京）有限公司出品的，属于流氓软件，文件释放在C:PROGRA~1CNRN目录下，金山报告为 Win32.Troj.Unknown.331112，其他的报为Win32/CnsMin。该病毒是一个WIN32 PE感染型病毒,病毒感染普通PE EXE文件并把自己的代码加到EXE文件尾 部.修改原程序的入口点以指向病毒体,病毒本身没有什么危害.但被感染的文件可能被破坏不能正常运行。推荐安全模式下杀毒。