药到病除之清除appinit_dlls病毒

最新推荐文章于 2022-09-16 19:09:56 发布
最新推荐文章于 2022-09-16 19:09:56 发布
阅读量4.3k 收藏
点赞数
分类专栏: 极端恶毒 文章标签: shell 360 exe 娱乐 任务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nooning/article/details/1824846
版权

第一次替朋友查杀该病用了三个多小时。病毒特征,在每次清appinit_dlls注册表项后自动改换文件名,appinit_dlls被重写;无法进安全模式(进则蓝屏);系统是财务使用有些软件比较难搞到,所以不能重装;瑞星、360对此无效果。经验总结

清除次序,使用360对可见病毒清除(360已知),改注册表将shell="explorer.exe"改为"regedit.exe"或regedt32.exe,将appinit_dlls指向文件此时无法删除,ntfs下,将其改为任何用户无法访问,如果有未知的非即插即用设备一并删除,通过设备管理器(很多广告使用这个方法),重启。

 此时系统已干净,但不可运行explorer.exe,找到explorer.exe shellhook注册项,将其清空,或将未知的注册项删除(注意:如果清空,可能会导致右击中少去一些已注册功能。另外,在没有清项前不可以在任务管理的浏览功能中使用右键)

至此,病毒已经在非运行态,如果你有耐心,那么可以一个个清除。和平共处也可以。

第二次,全程20分钟,并将所有启动项(shellhook,run runservice/once(全局及个人) shell,load,exe关联)等一一锁定,设为拒绝修改,驱动项只读,禁止新项,所以嘛。。。。下次主流的病毒不易中了,改pe那就没折了,不过现在的病毒都越来越。。。 pe的只有等专杀了

现在的病毒技术性大为下降,所以为手动杀毒提供了舞台,有时也可把它当成娱乐

nooning
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AppInit_DLLs被劫持与解析
testalllife的专栏
03-02 6753
AppInit, DLLs, 解析AppInit_DLLs被劫持及kv*.dll木马群appinit_dlls是什么?appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ,appinit_dlls是不是病毒呢?注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_L
AppInit_DLLs! 杀除方法
weixin_30362233的博客
11-21 173
AppInit_DLLs! 杀除方法 1、启动注册表: 开始——运行——键入:REGEDIT——打开注册表 按照360提示的位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\...
遭遇AppInit_Dlls病毒(木马)
weixin_30338497的博客
06-13 218
同事计算机启动后安全卫士突然报装载xxyu.dll(某盗号木马),马上按照老的方式,在注册表里面搜索,找到相关项以及ClassID,统统备份删除,结果问题如故,看看还不是那么简单了。 后来发现有一个注册表项AppInit_Dlls无论怎么删除修改,总是自动还原为带有上述dll的值。 上网搜索了一下相关资料,原来可以利用该项通过Explorer来加载dll的。 对于此类情况,可使用X-...
最新AppInit_DLLs病毒清理方法
weixin_34161083的博客
04-11 254
最新AppInit_DLLs病毒清理方法 感染AppInit_DLLs病毒后,会在系统注册表的AppInit_DLLs键值中添加病毒体文件的加载项,当系统启动时,就会加载至系统当前进程中,而且此病毒使用了保护机制,当发现相关注册表键被修改或病毒体文件被清除后,会重新生成相关注册表键和病毒体文件,导致病毒无法删除。针对此,我总结了一种清除方法如下。 ...
每天记录学习的新知识:AppInit
最新发布
嗯...
09-16 1243
AppInit:Android 应用初始化框架
AppInit Win7 2008 x32 x64
07-06
本文档主要针对应用开发者,提供关于如何在这些操作系统中正确使用AppInit_DLLs机制的指导。 AppInit_DLLs基础设施的常见用途是API钩子技术,即通过插入自定义的DLL来监控或修改API调用。然而,这种机制也有可能被...
Android代码-AppInit
08-06
AppInit:Android 应用初始化框架 AppInit 是一款 Android 应用初始化框架,基于组件化的设计思路,功能灵活,使用简单。 AppInit 用于解决美团收银 B 端 App 在业务演进过程中的实际问题,取得了不错的效果,...
开机自启动加载dll 无需exe.zip
01-28
这种方式通常涉及到注册表编辑和利用Windows系统的一些特性,如AppInit_DLLs机制。 在Windows系统中,DLL是一种代码和数据共享的机制,它允许多个程序同时使用同一块内存来存储共享功能或数据,从而节省系统资源。...
appInit:简单的网络应用程序
07-06
JavaScript是Web开发的核心技术之一,主要用于前端开发,提供动态、交互式的用户体验。 1. **应用初始化**: 应用初始化是程序启动时执行的一系列操作,包括设置环境、加载配置、注册事件监听器、初始化组件等。在...
Avanguard-master_library_Anti-Intrusion_win32_
10-04
injection techinques (against of CreateRemoteThread manual modules mapping injection through APC and AppInit_DLLs context switching)* Memory protection (kernel callbacks remapping)* Anti-splicing ...
利用AppInit_Dlls注入在win10上的限制
weixin_33970449的博客
11-21 712
起因 AppInit_Dlls注入方法特别简便,日常注入测试首选,在win7上屡试不爽,具体原理如下: support.microsoft.com/en-us/help/… docs.microsoft.com/en-us/windo…windows-7-and-windows-server-2008-r2 但是最近使用win10系统之后发现,注入方法失效。在检查过所有的配置都正确之...
apps_init
星空探索
03-17 391
apps_init   /* one time setup */ void apps_init(void) {     const struct app_descriptor *app;    /* call all the init routines */     for (app = &__apps_start; app != &__apps_end; app++) {
关于自启动项AppInit_DLLs被修改为 kmon.dll的问题解释
移动开发专栏
09-19 1086
最近,由于瑞星卡卡助手的不断升级,用360IE修复或用System Repair Engineer扫描时会出现自启动项AppInit_DLLs被修改为 kmon.dll的提示问题提示为:警告!电脑中发现可疑病毒体 C:/WINDOWS/system32/kmon.dll 文件存在。实际上,这个文件是瑞星卡卡助手的文件,这个文件本身并不是病毒。它是防止U盘自动打开,并向U盘自动写入免疫文
DLL注入之Appinit_Dlls
swanabin的专栏
03-18 6147
AppInit_DLLs is a mechanism that allows an arbitrary list of DLLs to be loaded into each user mode process on the system. Microsoft is modifying the AppInit DLLs facility in Windows 7 and Windows Serv
后门及持久化访问3----进程注入之AppInit_DLLs注册表项
浅笑996的博客
07-01 760
进程注入之AppInit_DLLs注册表项 User32.dll被加载到进程时,会获取AppInit_DLLs注册表项,若有值,则调用LoadLibrary() API加载用户DLL。只会影响加载了user32.dll的进程。 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Window\Appinit_Dlls 代码如下: #include #include using namespace std; int
想玩一个简单的注入??AppInit_DLLs注册表项注入它来了
KOOKNUT的博客
06-29 1622
之前介绍过一些Ring3层的注入方式,但那些都是需要用代码来实现注入,实现起来相对来说比较复杂。如果有兄弟想试一下注入的快感,又不想写复杂的程序,那么不妨可以玩玩注册表的注入方式。 不过这种注入方式有他的弊端,那就是注入的程序必须加载user32.dll,也就说通常是那些GUI程序才可以。原因是,每当启动一个GUI程序,他都会扫描注册表的AppInit_DLLs项,看看其中有没有制定的目标库,如果有,那就在程序运行时,首先主动加载该动态库,所以我们只需要将Dll完整路径写在这个位置,就可完成注入。值得一提的
3.基本指令appinit
weixin_33769207的博客
11-25 290
为什么80%的码农都做不了架构师?>>> ...
App init dlls注册表路径
心之所向,身之所往
04-07 949
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]
DLL注入练习之注册表主表-AppInit_DLLs表项
RickGray
06-04 5922
上一遍介绍了DLL远程注入的基本原理,在这篇文章中,就来看看另一个DLL注入的方法,注册表DLL注入。 其实注册表注入相对远程DLL注入来说更简单、更方便一点,只需在注册表中修改AppInit_DLLs和LoadAppInit_DLLs的键值即可。 (User32.dll被加载到进程时,会获取AppInit_DLLs注册表项,若有值,则调用LoadLibrary() API加载用户DLL。所有
Windows 7/2008 R2 AppInit DLLs:新要求与安全指南
AppInit DLLs是Windows操作系统(包括Windows 7和Windows Server 2008 R2)中的一个重要机制,它允许应用程序在所有用户模式进程中加载自定义动态链接库(DLL)。这项功能最初主要用于API钩子(Hooking),即应用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值