再查查看妳的電腦是否安裝了木馬克星,再查看appinit_dlls的數值是什麽,如果是 APIHookDll.dll ,那妳的電腦沒有中毒,這個只是木馬克星的文件,不用擔心
如果沒有就很可能是木馬病毒註冊表的系統設置項“AppInit_DLLs”可以為任壹個進程調用壹個dll列表.
這是早期的進程插入式木馬的伎倆,通過修改註冊表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]來達到插入進程的目的。缺點是不實時,修改註冊表後需要重新啟動才能完成進程插入。如求職信病毒。利用註冊表啟動,就是讓系統執行DllMain來達到啟動木馬的目的。因為它是kernel調入的,對這個DLL的穩定性有很大要求,稍有錯誤就會導致系統崩潰,所以很少看到這種木馬。
下面是幾種處理方法:
第壹種
1.清理掉系統木馬、病毒程序。(要借助360診斷報告分析,用360粉碎機,粉碎explorer進程中掛載的無版權信息的DLL文件,防止進行下面操作之後復發)。
2.安全模式(防止木馬重新寫入註冊表)下任務欄>>開始>>運行>>鍵入regedit>>到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows>>在右邊雙擊AppInit_DLLs,查看下數值數據裏面到底加載什麽文件,右鍵點擊AppInit_DLLs選擇修改,將數據清空之後確定(建議使用其他註冊表編輯工具進行操作)。(刪除dll開機加載到進程的註冊表數據)
3.然後搜索數值數據裏面木馬想要加載的dll文件,使用360安全衛士粉碎機刪除即可。(徹底刪除木馬文件) 字串2
4. 壹些安全\正常的程序也可能提示未知AppInit_DLLs,例如:卡巴斯基。這就要看360安全衛士提示未知程序的路徑,像卡巴斯基的允許就可以了。
第二種方法:
操作步驟:
1.重命名以下文件的文件名(包括但不限於,只要是xxxpri.dll就是此類病毒的同夥)
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
所有文件必須都要重命名
不能落掉壹個否則會功虧壹簣
2.重啟計算機
此時可能會報加載某某dll錯誤不要管他出現這個錯誤其實是妳成功的標誌!
雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾"並清除"隱藏
受保護的操作系統文件(推薦)"前面的鉤。在提示確定更改時,單擊“是”然後確定,刪除
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
妳剛剛重命名的那些文件
打開sreng
啟動項目註冊表刪除如下項目
雙擊AppInit_DLLs把其鍵值改為空
刪除
{2F12545B-1212-1314-5679-4512ACEF8902}C:\WINDOWS\system32\wdbpri.dll
{26368135-64FA-BC34-DA32-DCF4FD431C92}C:\WINDOWS\system32\qhbpri.dll
{91351752-5628-1547-FFAB-BADC13512AF9}C:\WINDOWS\system32\ztipri.dll
{22311A42-AC1B-158F-FD32-5674345F23A2}C:\WINDOWS\system32\dhbpri.dll
{5A65498A-7653-9801-1647-987114AB7F45}C:\WINDOWS\system32\zxepri.dll
{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}C:\WINDOWS\system32\xyepri.dll即可。
由於此病毒壹般為木馬下載器所下所以如果發現了此病毒肯定機器還有其他病毒或者木馬
需要用殺毒軟件配合手動清除掉所有殘余的病毒和木馬!
第三種
qhbpri木馬(AppInit_DLLs)專殺工具
qhbpri木馬簡介
1.變名,變形,大量自我復制(*pri.dll,前面為變名字母),躲避殺毒軟件查殺,普通方式無法徹底清除
2.非法修改Windows註冊表AppInit_DLLs達到優先啟動的效果。
3.隱蔽插入到其他程序進程,普通方式難以查殺。
4.下載其他木馬,與木馬指定的服務器通訊,泄露用戶隱私,盜竊網絡財產帳號。
5. 360安全衛士主程序檢測到qhbpri木馬和未知啟動項AppInit_DLLs正在被裝入C:\WINDOWS\system32\kvdxbma.dll
qhbpri木馬專殺(9月4日更新版本):
HTTP下載:/killer_qhbpri.exe
手動的方法
1、啟動註冊表:
開始——運行——鍵入:REGEDIT——打開註冊表
按照360提示的位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 找到“AppInit_DLLs”
把“AppInit_DLLs”改成“0”(註意:刪除沒有用,會自動重建。)
2、分別運行“Windows清理助手”和“惡意軟件清理助手”清理系統
第四種:
appinit_dlls病毒DLL型後綴病毒的手工殺毒的方法教程:
這類病毒大多是後門病毒,這類病毒壹般不會把自己暴露在進程中的,所以說特別隱蔽,比較不好發現
。啟動DLL後門的載體EXE是不可缺少的,也是非常重要的,它被稱為:Loader。如果沒有Loader,那DLL
後門如何啟動呢?因此,壹個好的DLL後門會盡力保護自己的Loader不被查殺。Loader的方式有很多,可
以是為我們的DLL後門而專門編寫的壹個EXE文件;也可以是系統自帶的Rundll32.exe和 Svchost.exe,
即使停止了Rundll32.exe和Svchost.exeDLL後門的主體還是存在的。現在大家也許對DLL有了個初步的了
解了,但是不是後綴是DLL就是病毒哦,也不要因為系統有過多的Rundll32.exe和Svchost.exe進程而擔
心,因為他們不壹定就是病毒,所以說這個病毒比較隱蔽,下邊來介紹幾種判別辦法:
1/Svchost.exe的鍵值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost”每個鍵值表示壹個獨立的Svchost.exe組。微軟還為我們提供了壹種察看系統
正在運行在 Svchost.exe列表中的服務的方法。以Windows XP為例:在“運行”中輸入:cmd,然後在命
令行模式中輸入:tasklist /svc。如果使用的是Windows 2000系統則把前面的“tasklist /svc”命令
替換為:“tlist -s”即可。如果妳懷疑計算機有可能被病毒感染,Svchost.exe的服務出現異常的話通
過搜索 Svchost.exe文件就可以發現異常情況。壹般只會找到壹個在:“C:\Windows\System32”目錄下
的Svchost.exe程序。如果妳在其他目錄下發現Svchost.exe程序的話,那很可能就是中毒了。
2/還有壹種確認Svchost.exe是否中毒的方法是在任務管理器中察看進程的執行路徑。但是由於在
Windows系統自帶的任務管理器不能察看進程路徑,所以要使用第三方的進程察看工具。比如Windows優
化大師中的Windows 進程管理 2.5。這樣,可以發現進程到底饔昧聳裁碊LL文件.
3/普通後門連接需要打開特定的端口,DLL後門也不例外,不管它怎麽隱藏,連接的時候都需要打開端口
。我們可以用netstat –an來查看所有TCP/UDP端口的連接,以發現非法連接。大家平時要對自己打開的
端口心中有數,並對netstat –an中的state屬性有所了解。當然,也可以使用Fport來顯示端口對應的
進程,這樣,系統有什麽不明的連接和端口,都可以盡收眼底。
4/最關鍵的方法對比法。安裝好系統和所有的應用程序之後,備份system32目錄下的EXE和DLL文件:打
開CMD,來到 WINNTsystem32目錄下,執行:dir *.exe>exe.txt & dir *.dll>dll.txt,這樣,就會把
所有的EXE和DLL文件備份到exe.txt和dll.txt文件中;日後,如發現異常,可以使用相同的命令再次備
份EXE和DLL文件(這裏我們假設是exe0.txt和dll0.txt),並使用:fc exe.txt exe0.txt>exedll.txt &
fc dll.txt dll0.txt>exedll.txt,其意思為使用FC命令比較兩次的EXE文件和DLL文件,並將比較結果
保存到exedll.txt文件中。通過這種方法,我們就可以發現多出來的EXE和DLL文件,並通過文件大小,
創建時間來判斷是否是DLL後門。
DLL型病毒的清除方法
1/ 在確定DLL病毒的文件的話請嘗試下邊方法
移除方法:
1. 開始——運行——輸入"Regedit"
2. 搜索"*.dll"
3. 刪除搜索到的鍵值。
4. 重啟
5. 轉到C:\Windows\System32\
6. 刪除*.dll
2/到註冊表下列地方尋找DLL的蹤跡
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost
3/如果上邊的地方都找不到的話建議使用優化大勢進程顯示工具 對 RUNDLL32.EXE和SVCHOST.EXE裏邊運
行的DLL程序進行核實找到病毒文件對其進行結束 然後在對他進行刪除 建議使用第1種方法是非常有效
的
第五種:
壹、須準備的刑具
Windows清理助手
惡意軟件清理助手
360安全衛士
二、註冊表啟動命令:REGEDIT
三、磨刀霍霍卷袖動手——殺!!!!
1、啟動註冊表:
開始——運行——鍵入:REGEDIT——打開註冊表
按照360提示的位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
找到“AppInit_DLLs”
把“AppInit_DLLs”改成“0”(註意:刪除沒有用,會自動重建。)
2、分別運行“Windows清理助手”和“惡意軟件清理助手”清理系統
“惡意軟件清理助手”清理:“惡意軟件清理”、“註冊表項清理”、“臨時文件清理”
其中“註冊表項清理”我沒有耐心清理完
因為有幾項好像清理不掉
“Windows清理助手”使用了“定制掃描”項
四、清理完畢,重啟電腦
壹切OK!