我也不记得是哪个帖子了,这个人弄的病毒很牛B,我在使用前已经用了几个杀毒软件扫描过了,没提示才放心使用,结果一双击,360就开始报了很多系统服务被加载,类似这样的提示
名称:{9549FC3C-37EF-4a10-BA37-89239BC43AA9}
路径:C:\WINDOWS\system32\nqbsclqf.dll
出品公司:
行为描述:新增系统可执行挂钩
系统到也不说卡,就是360猛报这个,我当即就短了网,开始杀毒,安全模式下,ESET和bitdefend,包括卡巴,都没查出来,心里总有总不安,想起冰刃应该可以解决这个问题(目前没去弄),就敢着过来发帖了,说真的,估计已经有不少人中招了,你可以去看下你的DNF账号,是否被盗走了东西,我到不在乎里面的东西,我在乎我的QQ号,用了几年了,一丢的话还真不知道怎么办!如果我找到解决这个病毒的办法会和大家说。杀毒软件为什么杀不了,估计和钩子有关系,希望大家不要再做傻事了,不要侥幸,或许下一个就轮到你了,不是诅咒,而是苦口婆心的说,按理说斑竹点亮的应该没什么问题,就因为这个,而且我也查毒了,结果还是中招了,账号上值钱的东西全没了,现在我连登陆QQ修改密码都成问题了,哎,算了,我能修改密码就好了,其他我一点都不在乎。再来这找外挂,要测试也用虚拟机,用小号测试了,没选择,对那些盗号的人,不用说了,难听的话估计你们已经免疫了,只能算自己倒霉!不过还真要谢谢你们,你们让我们学会了怎么保护自己!
下面是我找到的相关杀毒办法,如果不行就重装了,这个病毒不单盗号,或许其他东西都可以弄到手!
首先确认一下你的电脑中有没有装安装了瑞星卡卡6.0,如果有,那么不用担心,不是病毒,是卡卡监测文件,安装了瑞星卡卡6.0后,就会有的.
再查查看你的电脑是否安装了木马克星,再查看appinit_dlls的数值是什么,如果是 APIHookDll.dll ,那你的电脑没有中毒,这个只是木马克星的文件,不用担心
如果没有就很可能是木马病毒注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表.
这是早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利用注册表启动,就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。
下面是几种处理方法:
第一种
1.清理掉系统木马、病毒程序。(要借助360诊断报告分析,用360粉碎机,粉碎explorer进程中挂载的无版权信息的DLL文件,防止进行下面操作之后复发)。
2.安全模式(防止木马重新写入注册表)下任务栏>>开始>>运行>>键入regedit>>到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows>>在右边双击AppInit_DLLs,查看下数值数据里面到底加载什么文件,右键点击AppInit_DLLs选择修改,将数据清空之后确定(建议使用其他注册表编辑工具进行操作)。(删除dll开机加载到进程的注册表数据)
3.然后搜索数值数据里面木马想要加载的dll文件,使用360安全卫士粉碎机删除即可。(彻底删除木马文件) 字串2
4. 一些安全\正常的程序也可能提示未知AppInit_DLLs,例如:卡巴斯基。这就要看360安全卫士提示未知程序的路径,像卡巴斯基的允许就可以了。
第二种方法:
操作步骤:
1.重命名以下文件的文件名(包括但不限于,只要是xxxpri.dll就是此类病毒的同伙)
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
所有文件必须都要重命名
不能落掉一个否则会功亏一篑
2.重启计算机
此时可能会报加载某某dll错误不要管他出现这个错误其实是你成功的标志!
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏
受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是”然后确定,删除
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
你刚刚重命名的那些文件
打开sreng
启动项目注册表删除如下项目
双击AppInit_DLLs把其键值改为空
删除
{2F12545B-1212-1314-5679-4512ACEF8902}C:\WINDOWS\system32\wdbpri.dll
{26368135-64FA-BC34-DA32-DCF4FD431C92}C:\WINDOWS\system32\qhbpri.dll
{91351752-5628-1547-FFAB-BADC13512AF9}C:\WINDOWS\system32\ztipri.dll
{22311A42-AC1B-158F-FD32-5674345F23A2}C:\WINDOWS\system32\dhbpri.dll
{5A65498A-7653-9801-1647-987114AB7F45}C:\WINDOWS\system32\zxepri.dll
{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}C:\WINDOWS\system32\xyepri.dll即可。
由于此病毒一般为木马下载器所下所以如果发现了此病毒肯定机器还有其他病毒或者木马
需要用杀毒软件配合手动清除掉所有残余的病毒和木马!
第三种
qhbpri木马(AppInit_DLLs)专杀工具
【qhbpri木马简介】
1.变名,变形,大量自我复制(*pri.dll,前面为变名字母),躲避杀毒软件查杀,普通方式无法彻底清除
2.非法修改Windows注册表AppInit_DLLs达到优先启动的效果。
3.隐蔽插入到其他程序进程,普通方式难以查杀。
4.下载其他木马,与木马指定的服务器通讯,泄露用户隐私,盗窃网络财产帐号。
5. 360安全卫士主程序检测到【qhbpri木马】和【未知启动项AppInit_DLLs正在被装入】C:\WINDOWS\system32\kvdxbma.dll
qhbpri木马专杀(9月4日更新版本):
HTTP下载:http://dl.360safe.com/killer_qhbpri.exe
手动的方法
1、启动注册表:
开始——运行——键入:REGEDIT——打开注册表
按照360提示的位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 找到“AppInit_DLLs”
把“AppInit_DLLs”改成“0”(注意:删除没有用,会自动重建。)
2、分别运行“Windows清理助手”和“恶意软件清理助手”清理系统
第四种:
appinit_dlls病毒DLL型后缀病毒的手工杀毒的方法教程:
这类病毒大多是后门病毒,这类病毒一般不会把自己暴露在进程中的,所以说特别隐蔽,比较不好发现
。启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。如果没有Loader,那DLL
后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多,可
以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe和 Svchost.exe,
即使停止了Rundll32.exe和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了
解了,但是不是后缀是DLL就是病毒哦,也不要因为系统有过多的Rundll32.exe和Svchost.exe进程而担
心,因为他们不一定就是病毒,所以说这个病毒比较隐蔽,下边来介绍几种判别办法:
1/Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统
正在运行在 Svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命
令行模式中输入:tasklist /svc。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令
替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通
过搜索 Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下
的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
2/还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在
Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。比如Windows优
化大师中的Windows 进程管理 2.5。这样,可以发现进程到底饔昧耸裁碊LL文件.
3/普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口
。我们可以用netstat –an来查看所有TCP/UDP端口的连接,以发现非法连接。大家平时要对自己打开的
端口心中有数,并对netstat –an中的state属性有所了解。当然,也可以使用Fport来显示端口对应的
进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。
4/最关键的方法对比法。安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打
开CMD,来到 WINNTsystem32目录下,执行:dir *.exe>exe.txt & dir *.dll>dll.txt,这样,就会把
所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备
份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt &
fc dll.txt dll0.txt>exedll.txt,其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果
保存到exedll.txt文件中。通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,
创建时间来判断是否是DLL后门。
DLL型病毒的清除方法
1/ 在确定DLL病毒的文件的话请尝试下边方法
移除方法:
1. 开始——运行——输入"Regedit"
2. 搜索"*.dll"
3. 删除搜索到的键值。
4. 重启
5. 转到C:\Windows\System32\
6. 删除*.dll
2/到注册表下列地方寻找DLL的踪迹
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost
3/如果上边的地方都找不到的话建议使用优化大势进程显示工具 对 RUNDLL32.EXE和SVCHOST.EXE里边运
行的DLL程序进行核实找到病毒文件对其进行结束 然后在对他进行删除 建议使用第1种方法是非常有效
的
第五种:
一、须准备的刑具
Windows清理助手
恶意软件清理助手
360安全卫士
二、注册表启动命令:REGEDIT
三、磨刀霍霍卷袖动手——杀!!!!
1、启动注册表:
开始——运行——键入:REGEDIT——打开注册表
按照360提示的位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
找到“AppInit_DLLs”
把“AppInit_DLLs”改成“0”(注意:删除没有用,会自动重建。)
2、分别运行“Windows清理助手”和“恶意软件清理助手”清理系统
“恶意软件清理助手”清理:“恶意软件清理”、“注册表项清理”、“临时文件清理”
其中“注册表项清理”我没有耐心清理完
因为有几项好像清理不掉
“Windows清理助手”使用了“定制扫描”项
四、清理完毕,重启电脑
一切OK!
[ 此贴被joe52849005在2009-03-03 09:41重新编辑 ]
