HBInject & 0x77e07071 virus 病毒

HBInject & 0x77e07071 virus 病毒

上午 12:53 2008/8/16兩部電腦都無法登入Yahoo信箱，且無法登入元大證券的YesWin，現象是只要動到鍵盤打字，瀏覽器或YesWin視窗就跳脫，最嚴重時，任何軟體視窗包含Word、記事本、瀏覽器、Totalcmd、檔案總管等，只要開始打字就跳脫視窗，用滑鼠還能動但非常慢。

發現把網路線拉掉，雖然不能上網，但視窗不會跳脫。

狀況發生時，有HBInject這個進程作用中，也會出現Explorer.exe的0x77e07071指令記憶體不能為written的問題。

下午 08:27 2008/8/16總結各文件的解法

用Windows XPE光碟開機，找到所有的病毐檔刪除之，病毐檔名：
acpidisk.sys
HBInject.exe
Hbkernel.sys
HBKrnl.dll
Hbmhly.dll
update.dat
上面找檔名時，可省略副檔名，找到的檔會較完整。

把所有的tmp及temp檔案或資料夾都刪除，因病毐檔會放在暫存夾中自動啟動。

(為了防止類似kavo.exe的病毐，要注意有些資料夾以故意加上去，所以不要殺掉)

建立防毐(免疫)資料夾：
C:\WINDOWS\System32\drivers\acpidisk.sys
c:\windows\system32\drivers\hbkernel.sys
c:\windows\system32\hbinject.exe
c:\windows\system32\hbkrnl.dll
c:\windows\system32\hbmhly.dll
c:\windows\system32\update.dat

正常開機到Windows系統下，執行regedit，找到所有acpidisk或HBKernel或HBKrnl或HBInject的註冊資料全部清除。

檢查系統服務，找到所有acpidisk或HBKernel或HBKrnl或HBInject的相關服務，加以禁用。

把我的文件改回到c槽，這樣系統還原才能把放在暫存夾中的病毒檔也還原掉。

把所有上網的暫存檔清光，因為病毒檔會放在暫存夾(Temporary Internet Files)中自動執行。

如果有安裝防毐時，掃瞄好後，要再加入那些用來防止病毐寫入的資料夾，因為防毐軟體非常可能把那些故意加入的免疫資料夾給殺了。

還原精靈與防毐有衝突，要先裝好防毐，完成防毐的掃瞄，才再裝入還原精靈。
再重新開機觀察效果。

下面連結看看一些好用的清除軟體：
http://bbs-mychat.com/read.php?tid=608180
解決方法..請樓主先下載工具SREng及ICEsword..SREng載點--http://www.kztechs.com/sreng/download.htmlIcesword冰刃--http://www.ttian.net/website/2005/0829/391.html(因為中文的版本會出現亂碼.所以請下載Icesword 1.20英文版)


20080922補充：
現今網路蠕蟲病毒都是不請自來的，所以安裝系統時要把網路線斷線，安裝好後，馬上用Ghost或其他系統備份軟體備份系統，再把防毒裝進去，之後，才可以接網路線，注意，網路線一接，網路蠕蟲就開始進來，而不是上網才進來的。系統備份的目的是萬一一個不小心中了蠕蟲病毒，最好把系統還原，才能得到乾淨的系統，因為解毒軟體非常可能解不乾淨的。

下面是Spyware Terminator官網，用的結果很好，免費的，防範網路蠕蟲足足有餘，不必花錢買超貴又會使電腦變龜速的防毒軟體：
http://www.spywareterminator.com/



acpi和 acpiec這兩算是病毒?
acpi這檔案不一定是病毒，如果檔案位置和檔名正確的話，就不一定是病毒，說不一定的意思是說如果這檔案沒有被病毒感染的話就不是病毐。(acpi.sys是必要檔案，不能動它。)

病毒會偽裝，例如用autorun.inf這個光碟自動執行檔偽裝放在隨身碟中變成病毒，在光碟中它是正常檔案，在隨身碟中是病毒。

病毒會魚目混珠，例如KIS.SYS這檔案放在c:\windows\system32\drivers中，以為是普通卡巴的檔案，但它是病毒。

萬全之策是，為系統作備份，萬一殺錯檔可以還原系統，另則就是上網爬文，找看某一檔名是否為病毒再做道理。