AppInit_DLLs被劫持与解析

AppInit, DLLs, 解析
AppInit_DLLs被劫持及kv*.dll木马群
appinit_dlls是什么？
appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ，appinit_dlls是不是病毒呢？
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表
早期的进程插入式木马的伎俩，通过修改注册表中的[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs] 来达到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。
appinit_dlls分析：
最近很多人发现有appinit_dlls这个文件，查查看你的电脑是否安装了木马克星，再查看appinit_dlls的数值是什么，如果是 APIHookDll.dll ，那你的电脑没有中毒，这个只是木马克星的文件，不用担心。
如果不是，说明你中毒了，可以参考以下办法清除appinit_dlls病毒。
appinit_dlls病毒清除办法：
appinit_dlls病毒DLL型后缀病毒的手工杀毒的方法教程：
这类病毒大多是后门病毒，这类病毒一般不会把自己暴露在进程中的，所以说特别隐蔽，比较不好发现。启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。 Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe和 Svchost.exe，即使停止了Rundll32.exe和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了解了，但是不是后缀是DLL就是病毒哦，也不要因为系统有过多的Rundll32.exe和Svchost.exe进程而担心，因为他们不一定就是病毒，所以说这个病毒比较隐蔽，下边来介绍几种判别办法：
1/Svchost.exe的键值是在“HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/ CurrentVersion/Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统正在运行在 Svchost.exe列表中的服务的方法。以Windows XP为例：在“运行”中输入：cmd，然后在命令行模式中输入：tasklist /svc。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为：“tlist -s”即可。如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索 Svchost.exe文件就可以发现异常情况。一般只会找到一个在：“C:/Windows/System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。
2/还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。比如Windows优化大师中的Windows 进程管理 2.5。这样，可以发现进程到底饔昧耸裁碊LL文件.
3/普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。我们可以用netstat –an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的端口心中有数，并对netstat –an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。
4/最关键的方法对比法。安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打开 CMD，来到 WINNTsystem32目录下，执行：dir *.exe>exe.txt & dir *.dll>dll.txt，这样，就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到exedll.txt文件中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。
DLL型病毒的清除方法
1/ 在确定DLL病毒的文件的话请尝试下边方法
移除方法：
1. 开始——运行——输入"Regedit"
2. 搜索"*.dll"
3. 删除搜索到的键值。
4. 重启
5. 转到C:/Windows/System32/
6. 删除*.dll
2/到注册表下列地方寻找DLL的踪迹
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost
3/如果上边的地方都找不到的话建议使用优化大势进程显示工具 对 RUNDLL32.EXE和SVCHOST.EXE里边运行的DLL程序进行核实找到病毒文件对其进行结束 然后在对他进行删除 建议使用第1种方法是非常有效的
appinit_dlls病毒清除另外一种方法
一、须准备的刑具
Windows清理助手
恶意软件清理助手
360安全卫士
二、注册表启动命令：REGEDIT
三、磨刀霍霍卷袖动手——杀！！！！
1、启动注册表：
开始——运行——键入：REGEDIT——打开注册表
按照360提示的位置：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows 找到“AppInit_DLLs”
把“AppInit_DLLs”改成“0”（注意：删除没有用，会自动重建。）
2、分别运行“Windows清理助手”和“恶意软件清理助手”清理系统
“恶意软件清理助手”清理：“恶意软件清理”、“注册表项清理”、“临时文件清理”
其中“注册表项清理”我没有耐心清理完
因为有几项好像清理不掉
“Windows清理助手”使用了“定制扫描”项
四、清理完毕，重启电脑
补充安全模式下的SRENG扫描日志。。
可以处理的项目如下
用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。
下载地址: http://post.baidu.com/f?kz=158203765
【删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作，删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox目录下help.chm。】
【友情提醒1：有找不到提示的，请一个文件一个文件的输入“文件路径”中，不存在的忽略即可】
【友情提醒2：重要！ 不管您以前有无下载过XDELBOX,请按我的链接下载最新的1.6版！以防系统崩溃。】
【友情提醒3：单个文件导入的时候可以考虑勾选“抑制文件再生”（删除文件后生成一个同名的文件夹）相当于一定程度的免疫】
C:/WINDOWS/system32/kawddzy.dll
C:/WINDOWS/system32/kvmxgma.dll
C:/Program