病毒子文件gdipro.dll、rpcss.dll、sys17002.dll会被释放到%WINDOWS%\SYSTEM32\目录下,并写入注册表启动项,实现开机自 启动。其中gdipro.dll和rpcss.dll会被用于替换掉系统自身一个名为rpcss.dll的文件及其备份,使得病毒能够躲避系统安全模块和 安全软件的查杀。但也正因如此,当查杀该毒时,系统就可能因失去rpcss.dll文件而运行异常,比如网络中断、无法粘贴文档等。
而sys17002.dll则负责盗取帐号信息,盗取成功后就将赃物加密发送到病毒作者指定的地址。
用户如果进行手动查杀,需要将上述几个文件全部删除,然后将系统文件“C:\WINDOWS\system32\srpcss.dll”改名为“C:\WINDOWS\system32\rpcss.dll”,以恢复系统自身功能。同时,需对注册表做以下两项修改:
将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\ObjectName”改为“NTAUTHORITY\NetworkService”。
将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\Parameters\ServiceDll”改为“%SystemRoot%\system32\rpcss.dll”
完成以上步骤后,重启电脑,然后利用杀毒软件全盘查杀一次,系统就可以完全恢复正常了。
如果以上操作无效,可以参考爱毒霸社区版主vistalong的文章:HBkernel系列病毒(蝗虫军团)病毒的总结尝试恢复系统文件。
HBkernel系列病毒(蝗虫军团)病毒的总结
结合最近发现的日志总结
1.映像劫持杀软、防火墙和许多安全辅助工具,最近也发现有少量劫持输入法的情况。
2.破坏lsp
3.
病毒在
系统中的drivers目录中释放一个HBkernel32.sys的驱动文件,该驱动
文件既可以保护病毒不被清除,又可以破坏杀软的监控能力
4.病毒文件system.
exe(通常是隐藏的)会在注册表中添加一个启动项用于病毒的随机启动,同时还会加载驱动文来恢复SSDT表,从而让杀软失效。
5.修改注册表AppInit_DLLs项目,将许多hb***.dll文件插入到系统的进程中。
6.
有些出现无法复制粘贴的问题,rpc服务被破坏,解决方法 可以从相同系统的机子上
电脑上压缩rpcss.dll这个文件,然后解压到本机系统目录system32下和
system32\dllcache文件夹下,再在运行中打入services.msc,找到Remote Procedure Call (RPC),右键点启动。或者正常的相同版本的系统从注册表导出这一项,双击修复 最后附有几个常见系统的这个文件
处理思路
1.先利用
金山的HBkernel系列病毒(蝗虫军团)专杀砍结合 IFEO(或者av专杀)修复
2利用
windows清理助手清理,减少分析的工作量。
3.最后
扫描结合sreng日志具体分析,或者用清理
专家日志分析
4.必要时可以考虑利用病毒灭菌机处理。
f防范措施:平时养成一个良好的习惯,俗话说“三分技术,七分管理”,及时更新和打全系统补丁和三方
漏洞补丁,选择一款适合自己的杀软和防火墙,局域网用户可以安装arp防火墙,在安装反病毒
软件之后,应将病毒监控功能打开、经常进行升级,防火墙之类的也要记住更新,可以有效减少中毒的概率,"安全重于泰山",广大网民的安全意识应该加强。
附用到的工具以及使用说明:
1
.HBkernel系列病毒(蝗虫军团)专杀有关该病毒的详细信息参考:
http://bbs.duba.net/thread-21978027-1-1.html专杀工具
下载地址:
http://bbs.duba.net/attachment.php?aid=16215974IFEO修复
程序:
IFEO.rar (61.47 KB)
磁碟机/机器狗/AV终结者病毒专杀
简要介绍: 清除机器狗/AV终结者/8749病毒;修复“映像劫持”;修复Autorun.inf;修复安全模式。使用该专杀工具查杀后,请使用
金山毒霸进行一次全面杀毒即可,推荐用户使用专杀+
毒霸组合来彻底清除病毒的残留项目。
需要特别注明的是:很多病毒作者知道用户有将专杀放在桌面上运行的习惯,因此对于放在桌面上运行的程序会更严格的匹配与专杀相关的名称,更容易被病毒删除,建议用户不要将专杀放在桌面上运行下载地址:
http://www.duba.net/zhuansha/259.shtml2.windows清理助手清理
恶意软件 升级以后再使用
http://www.arswp.com/download/arswp2/arswp2.zip3.sreng下载
http://download.kztechs.com/files/sreng2.zip使用说明:解压sreng2.zip-->打开SREngLdr.EXE-->扫描-->保存报告
保存到桌面
将 SREngLOG.log 中内容完整的复制粘贴到
论坛上来(快捷
提示:ctrl+a全选,ctrl+c复制,ctrl+v粘贴),不要修改
如无法运行,请重命名文件夹名和文件名,如abc.exe/abc.com/abc.bat/abc.scr/abc.pif等
注意:扫描前请尽量关闭QQ、
游戏、下载工具、媒体播放器等应用程序。
日志太长的话请用附件上传
清理专家 (注意:目前套装的清理专家是2.4版 ,单独版的是2.5版 ,套装正在整合中,请大家耐心等待)
下载地址:
http://www.duba.net/qing/使用说明:注意先升级到最新版
金山清理专家
->恶意软件查杀
-->在线系统诊断-->导出诊断报告-->勾选 隐藏所有已知安全的项+全选-->导出报告
全选,复制,贴报告
4.
通用病毒杀灭机下载地址:http://www.kingzoo.com/tools/VirusKillBox%201.2.rar使用说明:参见
http://hi.baidu.com/teyqiu/blog/item/3804738da93d7a16b31bba32.html附几个常见的系统正常rpc的文件和对应的注册表文件
Windows 2000系统的Rpc服务项和文件 
2000_rpcss.zip (111.63 KB)
Windows XP SP2系统的Rpc服务项和文件 XPSP2_rpcss.zip (146.01 KB)
Windows XP SP3系统的Rpc服务项和文件 XPSP3_rpcss.zip (147.96 KB)
Windows vista 系统的Rpc服务项和文件 vista_rpcss.rar (185.38 KB)
您的位置: