请高手求助.360安全卫士提醒AppInit
kuaidi.ping-jia.net 作者:佚名 更新日期:2024-07-05
请高手求助.360安全卫士提醒AppInit_DLLs篡改系统驱动项.无病毒无木马.
AppInit_DLLs是注册表内的一个键值 不是文件 不能粉碎
只要将其内容清空即可
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表
早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利用注册表启动,就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。
任何操作系统都会在启动时自动运行一些程序,用以初始化系统环境或额外功能等,这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行,这些区域就是“启动项”,不同的系统提供的“启动项”数量也不同,对于Win9x来说,它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys,Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项,分别是:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
到了2000/XP系统时代,DOS环境被取消,却新增了一种称之为“服务”的启动区域,注册表也在保持原项目不变的基础上增加了2个“启动项”:
项目 键名
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run
这么多的启动入口,木马自然不会放过,于是我们经常在一些计算机的启动项里发现陌生的程序名,这时候就只能交由你或者病毒防火墙来判断了,毕竟系统自身会在这里放置一些必要的初始化程序,还有一些正常工具,包括病毒防火墙和网络防火墙,它们也必须通过启动项来实现跟随系统启动。
此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统路径遍历优先级欺骗”,Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位的,这就意味着,如果有两个同样名称的文件分别放在C:\和C:\Windows下,Windows会执行C:\下的程序,而不是C:\Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里,Windows就会想当然的执行了木马程序,系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”,因为无论哪个Windows版本的启动项里,它都是没有设置路径的。
要提防这种占用启动项而做到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。至于利用系统路径漏洞的木马,则只能靠用户自己的细心了。
根除木马——文件并联型木马的查杀
某些用户经常会很郁闷,自己明明已经删除了木马文件和相应的启动项,可是不知道什么时候它自己又原封不动的回来了,这还不算,更悲惨的是有时候杀掉某个木马后,系统也出了故障:所有应用程序都打不开了。这时候,如果用户对计算机技术的了解仅限于使用杀毒软件,那可只能哭哭啼啼的重装系统了!
为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单,因为这种木马修改了应用程序(EXE文件)的并联方式。
什么是“并联方式”呢?在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内,当系统收到一个文件名请求时,会以它的后缀名为依据在这里识别文件类型,进而调用相应的程序打开。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“"%1" %*”,让系统内核理解为“可执行请求”,它就会为使用这种打开方式的文件创建进程,最终文件就被加载执行了,如果有另外的程序更改了这个键值,Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”,运行程序时系统就会先为“木马程序”创建进程,把紧跟着的文件名作为参数传递给它执行,于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序,使得它可以长期驻留内存,每次都能恢复自身文件,所以在一般用户看来,这个木马就做到了“永生不死”。然而一旦木马程序被删除,Windows就会找不到相应的调用程序,于是正常程序就无法执行了,这就是所谓的“所有程序都无法运行”的情况来源,并不是木马更改了系统核心,更没必要因此重装整个系统。
根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他木马文件的话,也一起停止,然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件,把exefile的“打开方式”项(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。
如果删除木马前忘记把并联方式改回来,就会发现程序打不开了,这时候不要着急,如果你是Win9x用户,请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式,把Explorer.exe随便改个名字,再把REGEDIT.EXE改名为Explorer.exe,再次重启后会发现进入Windows只剩下一个注册表编辑器了,赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。
对于Win2000/XP用户而言,这个操作更简单了,只要在开机时按F8进入启动菜单,选“命令提示符的安全模式”,系统就会自动调用命令提示符界面作为外壳,直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启,直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。
追回被盗的系统文件
除了添加自己到启动项、路径欺骗和更改文件并联以外,一般的木马还有一种伎俩可以使用,那就是替换系统文件。由于如今的操作系统都是由许多文件共同构造的,并不是所有用户都能明白系统文件夹里每个文件的作用,这就给了木马可乘之机,它们盯上了系统里那些不会危害到系统正常运行而又经常会被调用的程序文件,像输入法指示程序internat.exe、让动态链接库可以像程序一样运行的rundll32.exe等。木马先把系统原来的文件改名成只有它们自己知道的一个偏僻文件名,再把自己改名成那个被替换的文件,这样就完成了隐藏极深的感染工作,从此只要系统需要调用那个被替换的程序进行工作,木马就能继续驻留内存了。那么文件被替换会不会导致系统异常呢?只要木马没有被删除,就不会造成系统异常,因为木马在作为原来的程序而被系统启动时,会获得一个由系统传递来的运行参数,这就是系统要求该程序工作的关键所在,木马会直接把这个参数传递给被改名的程序执行,像接力比赛那样完成数据操作,这样在系统看来就是命令被正常执行了,自然不会出现异常。但是也因为这样的特性导致木马被查杀后,系统的某些命令无法传递到本该执行操作的程序中,反而让系统出错了。
要修复它其实很简单,只要记住这个木马的文件名,在删除它之后再从系统光盘复制一个“原配”文件就可以了,如果没有系统光盘,就必须通过工具追踪木马传递参数的目标程序名,再把它改回来。
qhbpri木马(AppInit_DLLs)专杀工具
【qhbpri木马简介】
1.变名,变形,大量自我复制(*pri.dll,前面为变名字母),躲避杀毒软件查杀,普通方式无法彻底清除
2.非法修改Windows注册表AppInit_DLLs达到优先启动的效果。
3.隐蔽插入到其他程序进程,普通方式难以查杀。
4.下载其他木马,与木马指定的服务器通讯,泄露用户隐私,盗窃网络财产帐号。
5. 360安全卫士主程序检测到【qhbpri木马】和【未知启动项AppInit_DLLs正在被装入】C:\WINDOWS\system32\kvdxbma.dll
qhbpri木马专杀(9月4日更新版本):
HTTP下载:http://dl.360safe.com/killer_qhbpri.exe
手动的方法
1、启动注册表:
开始——运行——键入:REGEDIT——打开注册表
按照360提示的位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 找到“AppInit_DLLs”
把“AppInit_DLLs”改成“0”(注意:删除没有用,会自动重建。)
2、分别运行“Windows清理助手”和“恶意软件清理助手”清理系统
appinit_dlls是什么?
appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ,appinit_dlls是不是病毒呢?
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表
早期的进程插入式木马的伎俩,通过修改注册表中的
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达
到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利
用注册表启动,就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的,对这个DLL的
稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。
appinit_dlls分析:
最近很多人发现有appinit_dlls这个文件,查查看你的电脑是否安装了木马克星,再查看appinit_dlls
的数值是什么,如果是 APIHookDll.dll ,那你的电脑没有中毒,这个只是木马克星的文件,不用担心
。
如果不是,说明你中毒了,可以参考以下办法清除appinit_dlls病毒。
appinit_dlls病毒清除办法:
appinit_dlls病毒DLL型后缀病毒的手工杀毒的方法教程:
这类病毒大多是后门病毒,这类病毒一般不会把自己暴露在进程中的,所以说特别隐蔽,比较不好发现
。启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。如果没有Loader,那DLL
后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多,可
以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe和 Svchost.exe,
即使停止了Rundll32.exe和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了
解了,但是不是后缀是DLL就是病毒哦,也不要因为系统有过多的Rundll32.exe和Svchost.exe进程而担
心,因为他们不一定就是病毒,所以说这个病毒比较隐蔽,下边来介绍几种判别办法:
1/Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统
正在运行在 Svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命
令行模式中输入:tasklist /svc。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令
替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通
过搜索 Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下
的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
2/还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在
Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。比如Windows优
化大师中的Windows 进程管理 2.5。这样,可以发现进程到底饔昧耸裁碊LL文件.
3/普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口
。我们可以用netstat –an来查看所有TCP/UDP端口的连接,以发现非法连接。大家平时要对自己打开的
端口心中有数,并对netstat –an中的state属性有所了解。当然,也可以使用Fport来显示端口对应的
进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。
4/最关键的方法对比法。安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打
开CMD,来到 WINNTsystem32目录下,执行:dir *.exe>exe.txt & dir *.dll>dll.txt,这样,就会把
所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备
份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt &
fc dll.txt dll0.txt>exedll.txt,其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果
保存到exedll.txt文件中。通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,
创建时间来判断是否是DLL后门。
DLL型病毒的清除方法
1/ 在确定DLL病毒的文件的话请尝试下边方法
移除方法:
1. 开始——运行——输入"Regedit"
2. 搜索"*.dll"
3. 删除搜索到的键值。
4. 重启
5. 转到C:\Windows\System32\
6. 删除*.dll
2/到注册表下列地方寻找DLL的踪迹
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost
3/如果上边的地方都找不到的话建议使用优化大势进程显示工具 对 RUNDLL32.EXE和SVCHOST.EXE里边运
行的DLL程序进行核实找到病毒文件对其进行结束 然后在对他进行删除 建议使用第1种方法是非常有效
的
appinit_dlls病毒清除另外一种方法:
一、须准备的刑具
Windows清理助手
恶意软件清理助手
360安全卫士
二、注册表启动命令:REGEDIT
三、磨刀霍霍卷袖动手——杀!!!!
1、启动注册表:
开始——运行——键入:REGEDIT——打开注册表
按照360提示的位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
找到“AppInit_DLLs”
把“AppInit_DLLs”改成“0”(注意:删除没有用,会自动重建。)
2、分别运行“Windows清理助手”和“恶意软件清理助手”清理系统
“恶意软件清理助手”清理:“恶意软件清理”、“注册表项清理”、“临时文件清理”
其中“注册表项清理”我没有耐心清理完
因为有几项好像清理不掉
“Windows清理助手”使用了“定制扫描”项
四、清理完毕,重启电脑
一切OK!
不允许.如果是恶意程序的话,360能够检测出来,到时候你在删了就行了.不过有些比较心的病毒360也不行的,只有重装系统
用金山毒霸
你是安装了瑞星卡卡了,
KMON*DLL是瑞星卡卡的文件,会修改AppInit_DLLs注册表值,360提示点“允许”修改就可以了,不是病毒。
appinit_Dlls默认数值为0、修改appinit_Dlls数值是启动系统自动运行,这也就是木马/病毒的惯用行为,所以金山会报告它是非法的。
也可以卸载瑞星卡卡。
D:360AP\LIVEUPD360.DLL文件被破坏是什么意思?
答:D:360AP\LIVEUPD360.DLL 是 360 安全卫士的系统文件之一,主要用于检测和更新电脑上的软件程序。当您看到该错误提示时,可能是因为该文件已经被破坏或损坏。以下是可能导致此问题的原因:病毒或恶意软件感染:如果您的电脑感染了病毒或恶意软件,可能会导致 D:360AP\LIVEUPD360.DLL 文件被感染或损坏。...
笔记本电脑360ap出错,怎么办?
答:一般情况,拆卸重启重装一次,检查vc运行库,net是否安装齐全,权限是否拦截禁止,不行就换猎豹等wifi
360安全卫士提醒您发现35个系统高危漏洞怎么办
答:1、你可以选择修复,不必要修复的补丁可以不选。2、不修复也是可以的,一般家庭不会受到什么攻击、装个防火墙就可以了。3、若是每天都出现,你可以修改一下弹窗设置,选择你需要的选项。
360ap.exe出现了一个问题,导致程序停止正常工作,请关闭该程序。是怎么...
答:这个程序是360随身wifi或免费wifi的程序,可以从360软件管家内卸载该软件进行重装操作
电脑开机就出现360ap.exe 无法找到组件
答:你最好把360安全卫士卸载,用清理软件清理一下它的残留文件和注册表,再到360官网重新下载安装最新版的360安全卫士就可以了。
360安全卫士总显示我家的Wifi存在安全隐患,请高手来指点一下!_百度知 ...
答:楼主的这个问题确实是有异常的,不过可以确定是这个不是别人在蹭网,蹭网的话可以在右侧看到无线连接的设备,建议楼主先升级一下新版本卫士,若还出现可以联系360工程师检测一下。
ADVAP132.dii丢失怎么解决?
答:下载个“360系统急救箱”,已经安装了“360安全卫士”的朋友,直接打开“查杀木马”,“自定义扫描”的下面的“360系统急救箱”,点击它:【1】。开始急救!急救完毕后,立即处理,重启!【2】。开机后,“文件恢复区”,彻底删除文件!【3】。“系统修复”,全选,立即修复!【关键】【4】。网络修复...
360ap.exe损坏文件
答:360se.exe是360安全浏览器的主程序,可能由于你非法关机导致这个文件损坏,你这样,右键点击C盘-属性-工具-开始检查-勾上第一项自动修复-开始-出来一个确认框,点击确定,然后手动重启电脑,进入系统前会进行磁盘检测,不要按任意键跳过,等扫描完了,会自动进入系统,看下!如果还有问题,请用360安全...
360随身WiFi如何让不懂技术的人轻松搭建无线AP?
答:技术人员的常规操作简单,但对于普通用户而言,将无线网卡变无线AP显得复杂。360随身WiFi以其智能化设计,简化了这一过程。用户无需专业知识,只需搜索并连接到以“360”开头的无线网络,系统会自动分配安全密码。如果需要,用户还能自行更改密码,充分体现了其人性化考量。扩展功能,连接更上一层楼 不仅限...
我的电脑出了些问题!大家帮帮忙
答:这些可能是有盗号木马,360安全卫士安装不了,可能是某些程序与之冲突,建议删掉冲突的程序,安装360安全卫士后,在安全模式下杀毒
你是安装了瑞星卡卡了,
KMON*DLL是瑞星卡卡的文件,会修改 AppInit_DLLs 注册表值,360提示点“允许”修改就可以了,不是病毒。
appinit_Dlls 默认数值为 0 、修改 appinit_Dlls 数值 是启动系统自动运行,这也就是木马/病毒的惯用行为,所以金山会报告它是非法的。
也可以卸载瑞星卡卡。
下载一个“顽固木马专杀”,如果不行,去修复360安全卫士,在不行开机时按安全模式杀毒就是按F8,在不行就重装系统
帮你找了几篇,希望能帮到你。AppInit_DLLs是注册表内的一个键值 不是文件 不能粉碎
只要将其内容清空即可
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表
早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利用注册表启动,就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。
任何操作系统都会在启动时自动运行一些程序,用以初始化系统环境或额外功能等,这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行,这些区域就是“启动项”,不同的系统提供的“启动项”数量也不同,对于Win9x来说,它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys,Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项,分别是:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
到了2000/XP系统时代,DOS环境被取消,却新增了一种称之为“服务”的启动区域,注册表也在保持原项目不变的基础上增加了2个“启动项”:
项目 键名
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run
这么多的启动入口,木马自然不会放过,于是我们经常在一些计算机的启动项里发现陌生的程序名,这时候就只能交由你或者病毒防火墙来判断了,毕竟系统自身会在这里放置一些必要的初始化程序,还有一些正常工具,包括病毒防火墙和网络防火墙,它们也必须通过启动项来实现跟随系统启动。
此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统路径遍历优先级欺骗”,Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位的,这就意味着,如果有两个同样名称的文件分别放在C:\和C:\Windows下,Windows会执行C:\下的程序,而不是C:\Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里,Windows就会想当然的执行了木马程序,系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”,因为无论哪个Windows版本的启动项里,它都是没有设置路径的。
要提防这种占用启动项而做到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。至于利用系统路径漏洞的木马,则只能靠用户自己的细心了。
根除木马——文件并联型木马的查杀
某些用户经常会很郁闷,自己明明已经删除了木马文件和相应的启动项,可是不知道什么时候它自己又原封不动的回来了,这还不算,更悲惨的是有时候杀掉某个木马后,系统也出了故障:所有应用程序都打不开了。这时候,如果用户对计算机技术的了解仅限于使用杀毒软件,那可只能哭哭啼啼的重装系统了!
为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单,因为这种木马修改了应用程序(EXE文件)的并联方式。
什么是“并联方式”呢?在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内,当系统收到一个文件名请求时,会以它的后缀名为依据在这里识别文件类型,进而调用相应的程序打开。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“"%1" %*”,让系统内核理解为“可执行请求”,它就会为使用这种打开方式的文件创建进程,最终文件就被加载执行了,如果有另外的程序更改了这个键值,Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”,运行程序时系统就会先为“木马程序”创建进程,把紧跟着的文件名作为参数传递给它执行,于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序,使得它可以长期驻留内存,每次都能恢复自身文件,所以在一般用户看来,这个木马就做到了“永生不死”。然而一旦木马程序被删除,Windows就会找不到相应的调用程序,于是正常程序就无法执行了,这就是所谓的“所有程序都无法运行”的情况来源,并不是木马更改了系统核心,更没必要因此重装整个系统。
根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他木马文件的话,也一起停止,然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件,把exefile的“打开方式”项(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。
如果删除木马前忘记把并联方式改回来,就会发现程序打不开了,这时候不要着急,如果你是Win9x用户,请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式,把Explorer.exe随便改个名字,再把REGEDIT.EXE改名为Explorer.exe,再次重启后会发现进入Windows只剩下一个注册表编辑器了,赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。
对于Win2000/XP用户而言,这个操作更简单了,只要在开机时按F8进入启动菜单,选“命令提示符的安全模式”,系统就会自动调用命令提示符界面作为外壳,直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启,直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。
追回被盗的系统文件
除了添加自己到启动项、路径欺骗和更改文件并联以外,一般的木马还有一种伎俩可以使用,那就是替换系统文件。由于如今的操作系统都是由许多文件共同构造的,并不是所有用户都能明白系统文件夹里每个文件的作用,这就给了木马可乘之机,它们盯上了系统里那些不会危害到系统正常运行而又经常会被调用的程序文件,像输入法指示程序internat.exe、让动态链接库可以像程序一样运行的rundll32.exe等。木马先把系统原来的文件改名成只有它们自己知道的一个偏僻文件名,再把自己改名成那个被替换的文件,这样就完成了隐藏极深的感染工作,从此只要系统需要调用那个被替换的程序进行工作,木马就能继续驻留内存了。那么文件被替换会不会导致系统异常呢?只要木马没有被删除,就不会造成系统异常,因为木马在作为原来的程序而被系统启动时,会获得一个由系统传递来的运行参数,这就是系统要求该程序工作的关键所在,木马会直接把这个参数传递给被改名的程序执行,像接力比赛那样完成数据操作,这样在系统看来就是命令被正常执行了,自然不会出现异常。但是也因为这样的特性导致木马被查杀后,系统的某些命令无法传递到本该执行操作的程序中,反而让系统出错了。
要修复它其实很简单,只要记住这个木马的文件名,在删除它之后再从系统光盘复制一个“原配”文件就可以了,如果没有系统光盘,就必须通过工具追踪木马传递参数的目标程序名,再把它改回来。
qhbpri木马(AppInit_DLLs)专杀工具
【qhbpri木马简介】
1.变名,变形,大量自我复制(*pri.dll,前面为变名字母),躲避杀毒软件查杀,普通方式无法彻底清除
2.非法修改Windows注册表AppInit_DLLs达到优先启动的效果。
3.隐蔽插入到其他程序进程,普通方式难以查杀。
4.下载其他木马,与木马指定的服务器通讯,泄露用户隐私,盗窃网络财产帐号。
5. 360安全卫士主程序检测到【qhbpri木马】和【未知启动项AppInit_DLLs正在被装入】C:\WINDOWS\system32\kvdxbma.dll
qhbpri木马专杀(9月4日更新版本):
HTTP下载:http://dl.360safe.com/killer_qhbpri.exe
手动的方法
1、启动注册表:
开始——运行——键入:REGEDIT——打开注册表
按照360提示的位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 找到“AppInit_DLLs”
把“AppInit_DLLs”改成“0”(注意:删除没有用,会自动重建。)
2、分别运行“Windows清理助手”和“恶意软件清理助手”清理系统
appinit_dlls是什么?
appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ,appinit_dlls是不是病毒呢?
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表
早期的进程插入式木马的伎俩,通过修改注册表中的
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达
到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利
用注册表启动,就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的,对这个DLL的
稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。
appinit_dlls分析:
最近很多人发现有appinit_dlls这个文件,查查看你的电脑是否安装了木马克星,再查看appinit_dlls
的数值是什么,如果是 APIHookDll.dll ,那你的电脑没有中毒,这个只是木马克星的文件,不用担心
。
如果不是,说明你中毒了,可以参考以下办法清除appinit_dlls病毒。
appinit_dlls病毒清除办法:
appinit_dlls病毒DLL型后缀病毒的手工杀毒的方法教程:
这类病毒大多是后门病毒,这类病毒一般不会把自己暴露在进程中的,所以说特别隐蔽,比较不好发现
。启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。如果没有Loader,那DLL
后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多,可
以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe和 Svchost.exe,
即使停止了Rundll32.exe和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了
解了,但是不是后缀是DLL就是病毒哦,也不要因为系统有过多的Rundll32.exe和Svchost.exe进程而担
心,因为他们不一定就是病毒,所以说这个病毒比较隐蔽,下边来介绍几种判别办法:
1/Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统
正在运行在 Svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命
令行模式中输入:tasklist /svc。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令
替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通
过搜索 Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下
的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
2/还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在
Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。比如Windows优
化大师中的Windows 进程管理 2.5。这样,可以发现进程到底饔昧耸裁碊LL文件.
3/普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口
。我们可以用netstat –an来查看所有TCP/UDP端口的连接,以发现非法连接。大家平时要对自己打开的
端口心中有数,并对netstat –an中的state属性有所了解。当然,也可以使用Fport来显示端口对应的
进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。
4/最关键的方法对比法。安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打
开CMD,来到 WINNTsystem32目录下,执行:dir *.exe>exe.txt & dir *.dll>dll.txt,这样,就会把
所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备
份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt &
fc dll.txt dll0.txt>exedll.txt,其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果
保存到exedll.txt文件中。通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,
创建时间来判断是否是DLL后门。
DLL型病毒的清除方法
1/ 在确定DLL病毒的文件的话请尝试下边方法
移除方法:
1. 开始——运行——输入"Regedit"
2. 搜索"*.dll"
3. 删除搜索到的键值。
4. 重启
5. 转到C:\Windows\System32\
6. 删除*.dll
2/到注册表下列地方寻找DLL的踪迹
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost
3/如果上边的地方都找不到的话建议使用优化大势进程显示工具 对 RUNDLL32.EXE和SVCHOST.EXE里边运
行的DLL程序进行核实找到病毒文件对其进行结束 然后在对他进行删除 建议使用第1种方法是非常有效
的
appinit_dlls病毒清除另外一种方法:
一、须准备的刑具
Windows清理助手
恶意软件清理助手
360安全卫士
二、注册表启动命令:REGEDIT
三、磨刀霍霍卷袖动手——杀!!!!
1、启动注册表:
开始——运行——键入:REGEDIT——打开注册表
按照360提示的位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
找到“AppInit_DLLs”
把“AppInit_DLLs”改成“0”(注意:删除没有用,会自动重建。)
2、分别运行“Windows清理助手”和“恶意软件清理助手”清理系统
“恶意软件清理助手”清理:“恶意软件清理”、“注册表项清理”、“临时文件清理”
其中“注册表项清理”我没有耐心清理完
因为有几项好像清理不掉
“Windows清理助手”使用了“定制扫描”项
四、清理完毕,重启电脑
一切OK!
不允许.如果是恶意程序的话,360能够检测出来,到时候你在删了就行了.不过有些比较心的病毒360也不行的,只有重装系统
用金山毒霸
你是安装了瑞星卡卡了,
KMON*DLL是瑞星卡卡的文件,会修改AppInit_DLLs注册表值,360提示点“允许”修改就可以了,不是病毒。
appinit_Dlls默认数值为0、修改appinit_Dlls数值是启动系统自动运行,这也就是木马/病毒的惯用行为,所以金山会报告它是非法的。
也可以卸载瑞星卡卡。
答:D:360AP\LIVEUPD360.DLL 是 360 安全卫士的系统文件之一,主要用于检测和更新电脑上的软件程序。当您看到该错误提示时,可能是因为该文件已经被破坏或损坏。以下是可能导致此问题的原因:病毒或恶意软件感染:如果您的电脑感染了病毒或恶意软件,可能会导致 D:360AP\LIVEUPD360.DLL 文件被感染或损坏。...
答:一般情况,拆卸重启重装一次,检查vc运行库,net是否安装齐全,权限是否拦截禁止,不行就换猎豹等wifi
答:1、你可以选择修复,不必要修复的补丁可以不选。2、不修复也是可以的,一般家庭不会受到什么攻击、装个防火墙就可以了。3、若是每天都出现,你可以修改一下弹窗设置,选择你需要的选项。
答:这个程序是360随身wifi或免费wifi的程序,可以从360软件管家内卸载该软件进行重装操作
答:你最好把360安全卫士卸载,用清理软件清理一下它的残留文件和注册表,再到360官网重新下载安装最新版的360安全卫士就可以了。
答:楼主的这个问题确实是有异常的,不过可以确定是这个不是别人在蹭网,蹭网的话可以在右侧看到无线连接的设备,建议楼主先升级一下新版本卫士,若还出现可以联系360工程师检测一下。
答:下载个“360系统急救箱”,已经安装了“360安全卫士”的朋友,直接打开“查杀木马”,“自定义扫描”的下面的“360系统急救箱”,点击它:【1】。开始急救!急救完毕后,立即处理,重启!【2】。开机后,“文件恢复区”,彻底删除文件!【3】。“系统修复”,全选,立即修复!【关键】【4】。网络修复...
答:360se.exe是360安全浏览器的主程序,可能由于你非法关机导致这个文件损坏,你这样,右键点击C盘-属性-工具-开始检查-勾上第一项自动修复-开始-出来一个确认框,点击确定,然后手动重启电脑,进入系统前会进行磁盘检测,不要按任意键跳过,等扫描完了,会自动进入系统,看下!如果还有问题,请用360安全...
答:技术人员的常规操作简单,但对于普通用户而言,将无线网卡变无线AP显得复杂。360随身WiFi以其智能化设计,简化了这一过程。用户无需专业知识,只需搜索并连接到以“360”开头的无线网络,系统会自动分配安全密码。如果需要,用户还能自行更改密码,充分体现了其人性化考量。扩展功能,连接更上一层楼 不仅限...
答:这些可能是有盗号木马,360安全卫士安装不了,可能是某些程序与之冲突,建议删掉冲突的程序,安装360安全卫士后,在安全模式下杀毒
