是木马病毒注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表.
早期的进程插入式木马。
1.清理掉系统木马、病毒程序。(要借助360诊断报告分析,用360粉碎机,粉碎explorer进程中挂载的无版权信息的DLL文件,防止进行下面操作之后复发)。
2.安全模式(防止木马重新写入注册表)下任务栏>>开始>>运行>>键入regedit>>到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows>>在右边双击AppInit_DLLs,查看下数值数据里面到底加载什么文件,右键点击AppInit_DLLs选择修改,将数据清空之后确定(建议使用其他注册表编辑工具进行操作)。(删除dll开机加载到进程的注册表数据)
3.然后搜索数值数据里面木马想要加载的dll文件,使用360安全卫士粉碎机删除即可。(彻底删除木马文件) 字串2
4. 一些安全\正常的程序也可能提示未知AppInit_DLLs,例如:卡巴斯基。这就要看360安全卫士提示未知程序的路径,像卡巴斯基的允许就可以了。
另一种方法:
操作步骤:
1.重命名以下文件的文件名(包括但不限于,只要是xxxpri.dll就是此类病毒的同伙)
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
所有文件必须都要重命名
不能落掉一个否则会功亏一篑
2.重启计算机
此时可能会报加载某某dll错误不要管他出现这个错误其实是你成功的标志!
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏
受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是”然后确定,删除
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
你刚刚重命名的那些文件
打开sreng
启动项目注册表删除如下项目
双击AppInit_DLLs把其键值改为空
删除
{2F12545B-1212-1314-5679-4512ACEF8902}C:\WINDOWS\system32\wdbpri.dll
{26368135-64FA-BC34-DA32-DCF4FD431C92}C:\WINDOWS\system32\qhbpri.dll
{91351752-5628-1547-FFAB-BADC13512AF9}C:\WINDOWS\system32\ztipri.dll
{22311A42-AC1B-158F-FD32-5674345F23A2}C:\WINDOWS\system32\dhbpri.dll
{5A65498A-7653-9801-1647-987114AB7F45}C:\WINDOWS\system32\zxepri.dll
{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}C:\WINDOWS\system32\xyepri.dll即可。
由于此病毒一般为木马下载器所下所以如果发现了此病毒肯定机器还有其他病毒或者木马
需要用杀毒软件配合手动清除掉所有残余的病毒和木马!