AppInit, DLLs, 解析
AppInit_DLLs被劫持及kv*.dll木马群
appinit_dlls是什么?
appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ,appinit_dlls是不是病毒呢?
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表
早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs] 来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利用注册表启动,就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。
appinit_dlls分析:
最近很多人发现有appinit_dlls这个文件,查查看你的电脑是否安装了木马克星,再查看appinit_dlls的数值是什么,如果是 APIHookDll.dll ,那你的电脑没有中毒,这个只是木马克星的文件,不用担心。
如果不是,说明你中毒了,可以参考以下办法清除appinit_dlls病毒。
appinit_dlls病毒清除办法:
appinit_dlls病毒DLL型后缀病毒的手工杀毒的方法教程:
这类病毒大多是后门病毒,这类病毒一般不会把自己暴露在进程中的,所以说特别隐蔽,比较不好发现。启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。如果没有Loader,那DLL后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader不被查杀。 Loader的方式有很多,可以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe和 Svchost.exe,即使停止了Rundll32.exe和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了解了,但是不是后缀是DLL就是病毒哦,也不要因为系统有过多的Rundll32.exe和Svchost.exe进程而担心,因为他们不一定就是病毒,所以说这个病毒比较隐蔽,下边来介绍几种判别办法:
1/Svchost.exe的键值是在“HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/ CurrentVersion/Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统正在运行在 Svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索 Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:/Windows/System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
2/还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。比如Windows优化大师中的Windows 进程管理 2.5。这样,可以发现进程到底饔昧耸裁碊LL文件.
3/普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口。我们可以用netstat –an来查看所有TCP/UDP端口的连接,以发现非法连接。大家平时要对自己打开的端口心中有数,并对netstat –an中的state属性有所了解。当然,也可以使用Fport来显示端口对应的进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。
4/最关键的方法对比法。安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打开 CMD,来到 WINNTsystem32目录下,执行:dir *.exe>exe.txt & dir *.dll>dll.txt,这样,就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果保存到exedll.txt文件中。通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,创建时间来判断是否是DLL后门。
DLL型病毒的清除方法
1/ 在确定DLL病毒的文件的话请尝试下边方法
移除方法:
1. 开始——运行——输入"Regedit"
2. 搜索"*.dll"
3. 删除搜索到的键值。
4. 重启
5. 转到C:/Windows/System32/
6. 删除*.dll
2/到注册表下列地方寻找DLL的踪迹
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost
3/如果上边的地方都找不到的话建议使用优化大势进程显示工具 对 RUNDLL32.EXE和SVCHOST.EXE里边运行的DLL程序进行核实找到病毒文件对其进行结束 然后在对他进行删除 建议使用第1种方法是非常有效的
appinit_dlls病毒清除另外一种方法
一、须准备的刑具
Windows清理助手
恶意软件清理助手
360安全卫士
二、注册表启动命令:REGEDIT
三、磨刀霍霍卷袖动手——杀!!!!
1、启动注册表:
开始——运行——键入:REGEDIT——打开注册表
按照360提示的位置:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows 找到“AppInit_DLLs”
把“AppInit_DLLs”改成“0”(注意:删除没有用,会自动重建。)
2、分别运行“Windows清理助手”和“恶意软件清理助手”清理系统
“恶意软件清理助手”清理:“恶意软件清理”、“注册表项清理”、“临时文件清理”
其中“注册表项清理”我没有耐心清理完
因为有几项好像清理不掉
“Windows清理助手”使用了“定制扫描”项
四、清理完毕,重启电脑
补充安全模式下的SRENG扫描日志。。
可以处理的项目如下
用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。
下载地址: http://post.baidu.com/f?kz=158203765
【删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作,删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox目录下help.chm。】
【友情提醒1:有找不到提示的,请一个文件一个文件的输入“文件路径”中,不存在的忽略即可】
【友情提醒2:重要! 不管您以前有无下载过XDELBOX,请按我的链接下载最新的1.6版!以防系统崩溃。】
【友情提醒3:单个文件导入的时候可以考虑勾选“抑制文件再生”(删除文件后生成一个同名的文件夹)相当于一定程度的免疫】
C:/WINDOWS/system32/kawddzy.dll
C:/WINDOWS/system32/kvmxgma.dll
C:/Program Files/Common Files/Microsoft Shared/MSINFO/System6.ins
C:/WINDOWS/system32/kawddzy.dll
C:/WINDOWS/system32/rarjepi.dll
C:/WINDOWS/system32/avwldmn.dll
C:/WINDOWS/system32/kvmxgma.dll
C:/WINDOWS/system32/kvdxshma.dll
C:/WINDOWS/system32/kapjezy.dll
用工具 SREng 进行如下的操作:
下载及其使用方法看下面的链接【有图解】,看懂再下手操作!
http://post.baidu.com/f?kz=247766512
【如下操作有风险,必须看懂上面的方法再操作。】
【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】
另外:请特别注意上文链接中所说的某些项目是编辑,不能删除。
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
==================================
启动项目 -->注册表 的如下项删除
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{37C3125C-9CB6-4503-8F38-63D80ADEFA07}>
<{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}>
<{48907901-1416-3389-9981-372178569984}>
<{5598FF45-DA60-F48A-BC43-10AC47853D55}>
<{4960356A-458E-DE24-BD50-268F589A56A4}>
<{7D47B341-43DF-4563-753F-345FFA3157D7}>
<{8D561258-45F3-A451-F908-A258458226D8}>
<{5A321487-4977-D98A-C8D5-6488257545A5}>
最后用windows清理助手或者金山清理专家等工具清理 。
ps: 工具下载以及SRENG用法等的具体方法请参考,看懂再操作。
http://hi.baidu.com/teyqiu/blog/item/6dcb7cd91bce21ea39012f8d.html
那天不小心点了网站,结果整个机子上什么才“传奇木马”“机战木马”“魔兽世界木马”等20多个木马,我杀呀杀。最终终于搞定,参考如下:
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,早期的进程插入式木马的伎俩,通过修改注册表中的
【AppInit_DLLs】:[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows这里需要注意:AppInit_DLLs这个项目,正常情况下它的值应该是空的。这个项目表示每当一个程序启动的时候,AppInit_DLLs中的dll文件就会注入到该程序里面去启动。举个例子:如果 AppInit_DLLs=qhbpri.dll,那么在登录windows后,系统加载了explorer.exe,那么qhbpri.dll也会出现在其中。dll文件虽然不能自己运行,但等他注入到应用程序中,其中代码还是会被执行,一些qq密码盗窃木马就是用上面的原理工作的。由于dll是寄生在exe中运行,在进程管理器中是看不到它的,所以360提示未知启动项AppInit_DLLs的时候需要注意到底什么文件添加到该项目下。
针对当前360安全卫士提示未知启动项AppInit_DLLs,自启动项AppInit_DLLs - avzxamn.dll,表示C:/WINDOWS/system32/下面的avzxamn.dll将在下次启动时之后加载到进程中。即自启动项 AppInit_DLLs - avzxamn.dll的文件路径为C:/WINDOWS/system32/avzxamn.dll。
【解决办法】:1.禁用服务中没有描述的服务,防止木马母程序的启动
2.清理掉系统木马、病毒程序。(要借助360诊断报告分析和进程(特别是EXPLORER中的DLL),用360粉碎机或文件**器强行删除文件,粉碎explorer进程中挂载的无版权信息的DLL文件,防止进行下面操作之后复发)。
3.安全模式(防止木马重新写入注册表)下任务栏>>开始>>运行>>键入regedit>>到 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows>>在右边双击AppInit_DLLs,查看下数值数据里面到底加载什么文件,右键点击AppInit_DLLs选择修改,将数据清空之后确定(建议使用其他注册表编辑工具进行操作)。(删除dll开机加载到进程的注册表数据)
4.然后搜索数值数据里面木马想要加载的dll文件,使用360安全卫士粉碎机删除即可。(彻底删除木马文件)
5. 一些安全/正常的程序也可能提示未知AppInit_DLLs,例如:卡巴斯基。这就要看360安全卫士提示未知程序的路径,像卡巴斯基的允许就可以了。
Qhbpri木马(AppInit_DLLs)专杀工具v1.4
http://www.motoyi.com/Down/Specialized/200710/Down_82.shtml
该类木马不仅修改AppInit_DLLs,而且还改了ShellExecuteHooks.
一般都是U盘病毒传播
本想可以修改注册表权限,完全禁止病毒的创建
但是有些杀毒软件需要动注册表这两处(例如瑞星可能需要改ShellExecuteHooks)
所以没办法,只好先防U盘病毒吧
方法就是禁止自动播放功能了
又发现
O23 - 未知 - Service: pdwu [Windows pdwu RunThem] - C:/PROGRA~1/kyrp/uibz.dll
通过系统程序C:/WINDOWS/System32/svchost.exe以服务的方式加载映像模块
C:/PROGRA~1/kyrp目录里有很多dll文件,只要加载一个,其他dll也跟着注入进程
病毒创建的服务名和Programfiles里的文件夹都是用随机名的
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows默认值为空!卡巴斯基可能更改此值!
一种木马可能用到的方法!注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion /Windows/AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利用注册表启动,就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。
最近发现此值被改为273100M.BMP的情况!而且在正常模式下无法删除!Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows]
"AppInit_DLLs"="273100M.BMP"
关于appinit_dlls的微软官方的信息:http://support.microsoft.com/kb/197571
1.建议使用XDelBox删除以下文件:(XDelBox1.6下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择"剪贴板导入不检查路径",导入后在要待删除文件上点击右键,选择立刻重启删除.电脑会重启进入DOS界面进行删除操作。
提示:运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)
c:/windows/system32/gddji32.dll
c:/windows/system32/msass.dll
c:/windows/system32/msplrct.dll
c:/windows/system32/videodevice.dll
c:/windows/system32/gddhi32.dll
c:/windows/system32/gdfyi32.dll
c:/windows/system32/gdgji32.dll
c:/windows/system32/gdjzi32.dll
c:/windows/system32/gdmhi32.dll
c:/windows/system32/gdmsi32.dll
c:/windows/system32/gdqji32.dll
c:/windows/system32/gdqqhxi32.dll
c:/windows/system32/gdqqsgi32.dll
c:/windows/system32/gdtli32.dll
c:/windows/system32/gdwdi32.dll
c:/windows/system32/gdwli32.dll
c:/windows/system32/gdwmi32.dll
c:/windows/system32/gdzhtui32.dll
c:/windows/system32/gdzxi32.dll
c:/windows/system32/haub3.dll
c:/windows/system32/gddji32.dll
c:/windows/system32/drivers/2m0zh5u.sys
c:/docume~1/test/locals~1/temp/tmpd.tmp
c:/windows/downloaded program files/winio.sys
c:/docume~1/test/locals~1/temp/tmp10.tmp
c:/windows/system32/drivers/stz35c9x.sys
c:/windows/system32/drivers/pcidisk.sys
c:/windows/system32/drivers/mxdispdr.sys
c:/windows/system32/drivers/comint32.sys
c:/windows/system32/drivers/comint32.sys
c:/program files/internet explorer/iexplore32.win
c:/program files/internet explorer/iexplore32.sys
c:/program files/internet explorer/iexplore32.dat
c:/windows/downloaded program files/qp2.dll
2.删除重启后使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
注意该项[AppInit_DLLs]修改:把
启动项目 -- 服务-- 驱动程序之如下项删除:
[2m0zh5u / 2m0zh5u] ??/C:/WINDOWS/system32/drivers/2m0zh5u.sys>
[ZHTU / ZHTU] ??/C:/DOCUME~1/test/LOCALS~1/Temp/tmpD.tmp>
[WINIO / WINIO] ??/C:/WINDOWS/Downloaded Program Files/winio.sys>
[WD / WD] ??/C:/DOCUME~1/test/LOCALS~1/Temp/tmp10.tmp>
[stz35c9 / stz35c9x]
[PciHardDisk / PciHardDisk] ??/C:/WINDOWS/system32/drivers/pcidisk.sys>
[mxdispdr / mxdispdr] ??/C:/WINDOWS/system32/drivers/mxdispdr.sys>
[comint32 / comint32] ??/C:/WINDOWS/system32/DRIVERS/comint32.sys>
[RAS Asynchronous Media Driver / AsyncMac]
系统修复-- 浏览器加载项之如下项删除:
[]
[]
[]
[QuickPlace Class]
[]
[]
[]
这些操作完成后,可能会出现不能上网,请按照下面提示操作:
下载毒霸LSP 修复工具:http://www.kingsoft.com/db/downl ... aTool_RepairLSP.EXE 修复下!
之后依次执行下面操作:
清理系统临时文件和IE临时文件夹
http://www.hzqedison.cn/hanhua/ATF-Cleaner-cn.exe
Windows清理助手:http://www.arswp.com/download/arswp/arswp.rar
下载后,扫描清理系统!
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表
早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/
AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利用注册表启动,就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。
具体清除方法请参考以下:
如何一次性干掉牛皮癣般的木马
问:现在的木马种类繁多,而且有些木马十分顽固,根本没法杀干净。有什么方法能有效的防止木马和清除它们的方法吗?
答:什么是木马
你所说的木马,也就是一种能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序,一般由两部分组成:客户端(Client)和服务器端(Server),客户端也称为控制端。
木马的传播感染其实指的就是服务器端,入侵者必须通过各种手段把服务器端程序传送给受害者运行,才能达到木马传播的目的。当服务器端被受害者计算机执行时,便将自身复制到系统目录,并把运行代码加入系统启动时会自动调用的区域里,借以达到跟随系统启动而运行,这一区域通常称为“启动项”。当木马完成这部分操作后,便进入潜伏期——偷偷开放系统端口,等待入侵者连接。
阻止木马运行——查杀更彻底
任何操作系统都会在启动时自动运行一些程序,用以初始化系统环境或额外功能等,这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行,这些区域就是“启动项”,不同的系统提供的“启动项”数量也不同,对于Win9x来说,它提供了至少5个“启动项”OS环境下的 Autoexec.bat、Config.sys,Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项,分别是:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
到了2000/XP系统时代,DOS环境被取消,却新增了一种称之为“服务”的启动区域,注册表也在保持原项目不变的基础上增加了2个“启动项”:
项目 键名
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
Windows AppInit_DLLs
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows run
这么多的启动入口,木马自然不会放过,于是我们经常在一些计算机的启动项里发现陌生的程序名,这时候就只能交由你或者病毒防火墙来判断了,毕竟系统自身会在这里放置一些必要的初始化程序,还有一些正常工具,包括病毒防火墙和网络防火墙,它们也必须通过启动项来实现跟随系统启动。
此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统路径遍历优先级欺骗”,Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位的,这就意味着,如果有两个同样名称的文件分别放在 C:/和C:/Windows下,Windows会执行C:/下的程序,而不是C:/Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里,Windows就会想当然的执行了木马程序,系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”,因为无论哪个Windows版本的启动项里,它都是没有设置路径的。
AppInit_DLLs
%systemRoot%systrm32/kvdxjisa.exe
%systemRoot%systrm32/kvdxjma.dll
%systemRoot%Fonts/ardaase.fon
%systemRoot%Fonts/kvdxjcf.dll
%systemRoot%Fonts/kvdxjcfa.dll
找到与之类似的文件.全部删除
用360文件粉碎器删除
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,早期的进程插入式木马的伎俩,通过修改注册表中的 [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows这里需要注意:AppInit_DLLs这个项目,正常情况下它的值应该是空的。这个项目表示每当一个程序启动的时候,AppInit_DLLs中的dll文件就会注入到该程序里面去启动。举个例子:如果 AppInit_DLLs=qhbpri.dll,那么在登录windows后,系统加载了explorer.exe,那么qhbpri.dll也会出现在其中。dll文件虽然不能自己运行,但等他注入到应用程序中,其中代码还是会被执行,一些qq密码盗窃木马就是用上面的原理工作的。由于dll是寄生在 exe中运行,在进程管理器中是看不到它的,所以提示未知启动项AppInit_DLLs的时候需要注意到底什么文件添加到该项目下。
解决办法:
1.清理掉系统木马、病毒程序。
2.安全模式(防止木马重新写入注册表)下任务栏>>开始>>运行>>键入regedit>>到 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows>>在右边双击AppInit_DLLs,查看下数值数据里面到底加载什么文件,右键点击AppInit_DLLs选择修改,将数据清空之后确定(建议使用其他注册表编辑工具进行操作)。(删除dll开机加载到进程的注册表数据)
3.然后搜索数值数据里面木马想要加载的dll文件,使用粉碎器删除即可。(彻底删除木马文件)
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,早期的进程插入式木马的伎俩,通过修改注册表中的 [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows这里需要注意:AppInit_DLLs这个项目,正常情况下它的值应该是空的。这个项目表示每当一个程序启动的时候,AppInit_DLLs中的dll文件就会注入到该程序里面去启动。举个例子:如果 AppInit_DLLs=qhbpri.dll,那么在登录windows后,系统加载了explorer.exe,那么qhbpri.dll也会出现在其中。dll文件虽然不能自己运行,但等他注入到应用程序中,其中代码还是会被执行,一些qq密码盗窃木马就是用上面的原理工作的。由于dll是寄生在 exe中运行,在进程管理器中是看不到它的,所以360提示未知启动项AppInit_DLLs的时候需要注意到底什么文件添加到该项目下。
针对当前360安全卫士提示未知启动项AppInit_DLLs,自启动项AppInit_DLLs - avzxamn.dll,表示C:/WINDOWS/system32/下面的avzxamn.dll将在下次启动时之后加载到进程中。即自启动项 AppInit_DLLs - avzxamn.dll的文件路径为C:/WINDOWS/system32/avzxamn.dll。
解决办法:
1.清理掉系统木马、病毒程序。(要借助360诊断报告分析删除,防止进行下面操作之后复发)。
2.安全模式(防止木马重新写入注册表)下任务栏>>开始>>运行>>键入regedit>>到 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows>>在右边双击AppInit_DLLs,查看下数值数据里面到底加载什么文件,右键点击AppInit_DLLs选择修改,将数据清空之后确定(建议使用其他注册表编辑工具进行操作)。(删除dll开机加载到进程的注册表数据)
3.然后搜索数值数据里面木马想要加载的dll文件,使用360安全卫士粉碎机删除即可。(彻底删除木马文件)
4. 一些安全/正常的程序也可能提示未知AppInit_DLLs,例如:卡巴斯基。这就要看360安全卫士提示未知程序的路径,像卡巴斯基的允许就可以了。
什么是appinit_dlls?
注册表的系统设置项“appinit_dlls”可以为任一个进程调用一个dll列表,早期的进程插入式木马的伎俩,通过修改注册表中的
“hkey_local_machine/software/microsoft/windows nt/currentversion/windows/appinit_dlls”
来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。
appinit_dlls是不是木马?
这里需要注意:appinit_dlls这个项目,正常情况下它的值应该是空的。这个项目表示每当一个程序启动的时候,appinit_dlls中的dll文件就会注入到该程序里面去启动。
举个例子:如果appinit_dlls=qhbpri.dll,那么在登录windows后,系统加载了explorer.exe,那么 qhbpri.dll也会出现在其中。dll文件虽然不能自己运行,但等他注入到应用程序中,其中代码还是会被执行,一些qq密码盗窃木马就是用上面的原理工作的。
这么查杀利用appinit_dlls的木马病毒?
1、打开注册表: 开始——运行——键入:REGEDIT——打开注册表:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows 找到“AppInit_DLLs”
2,记录下appinit_dlls的键值,比如“XXX.DLL”
3,把“AppInit_DLLs”的键值改为“0”(注意:删除没有用,会自动重建。)
4,进入安全模式,把第2步骤的XXX.DLL查找到,并删除!!
所需工具:SREng,xdelbox
运行SREng在"启动项目->注册表" 删除下面项目:
[{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}]
[{66650011-3344-6688-4899-345FABCD1566}]
[{2960356A-458E-DE24-BD50-268F589A56A2}]
[{57D81718-1314-5200-2597-587901018075}]
[{2A321487-4977-D98A-C8D5-6488257545A2}]
[{18847374-8323-FADC-B443-4732ABCD3781}]
[{24783410-4F90-34A0-7820-3230ACD05F42}]
[{4859245F-345D-BC13-AC4F-145D47DA34F4}]
[{2598FF45-DA60-F48A-BC43-10AC47853D52}]
[{334345F1-DACF-3452-CB7D-4620F34A1533}]
[{4E32FA58-3453-FA2D-BC49-F340348ACCE4}]
[{3A1247C1-53DA-FF43-ABD3-345F323A48D3}]
[{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}]
[{28907901-1416-3389-9981-372178569982}]
打开C:/WINDOWS/system32,果然大堆不明文件,还发现有~.exe的东西
注意还有[AppInit_DLLs]的键值编辑为空。MS直接编辑不行,编辑了之后还会重新又生成,我当时是直接从注册表里删除然后新建了名字为[AppInit_DLLs]的一项,注意类型为REG
用xdelbox(这个东西很不错,dos下删除文件并且可以抑制文件再生)删除
C:/WINDOWS/system32/msplrct.dll
C:/WINDOWS/system32/qdshm.dll
C:/WINDOWS/system32/opx7zv02q.dll
C:/WINDOWS/system32/qdshm.dll
C:/WINDOWS/system32/sqmapi32.dll
C:/WINDOWS/system32/addrzthelp.dll
C:/WINDOWS/system32/addrmshelp.dll
C:/WINDOWS/system32/addrgjhelp.dll
C:/WINDOWS/system32/addrzxhelp.dll
C:/WINDOWS/system32/rarjbpi.dll
C:/WINDOWS/system32/GenProtect.dll
C:/WINDOWS/system32/cmdbcs.dll]
C:/WINDOWS/system32/kvdxcma.dll
C:/WINDOWS/system32/kaqhfzy.dll
C:/WINDOWS/system32/AVPSrv.dll
C:/WINDOWS/system32/addrwdhelp.dll
C:/WINDOWS/system32/kvdxsbma.dll
C:/WINDOWS/system32/dllMergeDict.dll
C:/WINDOWS/system32/kvdxsbma.dll
C:/WINDOWS/IEnet.exe
C:/WINDOWS/system32/playasp.exe
C:/WINDOWS/system32/mssock.sys
C:/WINDOWS/system32/drivers/mxdispdr.sys
C:/WINDOWS/system32/DRIVERS/rfvevcn7.sys
C:/WINDOWS/system32/kafyezy.dll
C:/WINDOWS/system32/ratbepi.dll
C:/WINDOWS/system32/kvmxema.dll
C:/WINDOWS/system32/rsztcpm.dll
C:/WINDOWS/system32/raqjbpi.dll
C:/WINDOWS/system32/kaqhezy.dll
C:/WINDOWS/system32/ratbfpi.dll
C:/WINDOWS/system32/kafyezy.dll
C:/WINDOWS/system32/kvdxsbma.dll
C:/Program Files/Internet Explorer/Info_Ms.Sys
C:/WINDOWS/system32/sidjazy.dll
C:/WINDOWS/system32/kapjbzy.dll
C:/WINDOWS/system32/rarjbpi.dll
C:/WINDOWS/system32/kawdbzy.dll
C:/WINDOWS/system32/avwlbmn.dll
C:/WINDOWS/system32/avwgcmn.dll
C:/WINDOWS/system32/kvdxcma.dll
C:/WINDOWS/system32/zxavast0.dll
C:/WINDOWS/system32/csavpw0.dll
C:/WINDOWS/system32/avzxdmn.dll
C:/WINDOWS/system32/msavpw0.dll
C:/WINDOWS/system32/mypern1.dll
C:/WINDOWS/system32/avwgdmn.dll
C:/WINDOWS/system32/rsmyepm.dll
上述列表可以直接导入xdelbox
注意xdelbox删除是重启删除的,所以也比较干净拉
当然根据具体情况的不同,也可能没有上面那么多文件,但凡见到就直接删去
最后在检测下C:/WINDOWS/system32目录下按修改时间排序,后面好多exe文件,可以直接删除
出于安全我还是查看了其他盘的根目录,并且删除了C:/Program Files/Internet Explorer/PLUGINS的WinSys88.sys