qhbpri.dll病毒清除

最新推荐文章于 2024-11-14 23:43:17 发布
最新推荐文章于 2024-11-14 23:43:17 发布
阅读量831 收藏
点赞数
分类专栏: 网络与系统管理 文章标签: dll 360 windows 杀毒软件 c 工具

注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。


         HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows这里需要注意:AppInit_DLLs这个项目,正常情况下它的值应该是空的。这个项目表示每当一个程序启动的时候,AppInit_DLLs中的dll文件就会注入到该程序里面去启动。举个例子:如果AppInit_DLLs=qhbpri.dll,那么在登录windows后,系统加载了explorer.exe,那么qhbpri.dll也会出现在其中。dll文件虽然不能自己运行,但等他注入到应用程序中,其中代码还是会被执行,一些qq密码盗窃木马就是用上面的原理工作的。由于dll是寄生在exe中运行,在进程管理器中是看不到它的,所以360提示未知启动项AppInit_DLLs的时候需要注意到底什么文件添加到该项目下。

         针对当前360安全卫士提示未知启动项AppInit_DLLs,自启动项AppInit_DLLs - avzxamn.dll,表示C:/WINDOWS/system32/下面的avzxamn.dll将在下次启动时之后加载到进程中。即自启动项AppInit_DLLs - avzxamn.dll的文件路径为C:/WINDOWS/system32/avzxamn.dll。
字串9

 

解决办法:
               1.清理掉系统木马、病毒程序。(要借助360诊断报告分析,用360粉碎机,粉碎explorer进程中挂载的无版权信息的DLL文件,防止进行下面操作之后复发)。

               2.安全模式(防止木马重新写入注册表)下任务栏>>开始>>运行>>键入regedit>>到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows>>在右边双击AppInit_DLLs,查看下数值数据里面到底加载什么文件,右键点击AppInit_DLLs选择修改,将数据清空之后确定(建议使用其他注册表编辑工具进行操作)。(删除dll开机加载到进程的注册表数据)

 

               3.然后搜索数值数据里面木马想要加载的dll文件,使用360安全卫士粉碎机删除即可。(彻底删除木马文件) 字串2


               4. 一些安全/正常的程序也可能提示未知AppInit_DLLs,例如:卡巴斯基。这就要看360安全卫士提示未知程序的路径,像卡巴斯基的允许就可以了。

字串7

         可以使用qhbpri专杀工具>>下载:http://bbs.360safe.com/viewthread.php?tid=265824&extra=page%3D1
如果专杀失效 请把诊断报告中 Explorer后加载的DLL文件帖上来。

字串4


下面是其它的一些建议。 字串3

samsinn :光解决AppInit_DLLs是不够的
QUOTE:

字串2

扫描的病机sreng日志如下
启动项目
[HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Windows]
<AppInit_DLLs><ztipri.dll> []
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{2F12545B-1212-1314-5679-4512ACEF8902}><C:/WINDOWS/system32/wdbpri.dll>
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:/WINDOWS/system32/qhbpri.dll>
<{91351752-5628-1547-FFAB-BADC13512AF9}><C:/WINDOWS/system32/ztipri.dll>
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:/WINDOWS/system32/dhbpri.dll>
<{5A65498A-7653-9801-1647-987114AB7F45}><C:/WINDOWS/system32/zxepri.dll>
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:/WINDOWS/system32/xyepri.dll>
该类木马不仅修改AppInit_DLLs,而且还改了ShellExecuteHooks.一般都是U盘病毒传播 字串4

本想可以修改注册表权限,完全禁止病毒的创建

但是有些杀毒软件需要动注册表这两处(例如瑞星可能需要改ShellExecuteHooks)
所以没办法,只好先防U盘病毒吧
方法就是禁止自动播放功能了又发现O23 - 未知 - Service: pdwu [Windows pdwu RunThem] - C:/PROGRA~1/kyrp/uibz.dll

通过系统程序C:/WINDOWS/System32/svchost.exe以服务的方式加载映像模块
C:/PROGRA~1/kyrp目录里有很多dll文件,只要加载一个,其他dll也跟着注入进程
病毒创建的服务名和Programfiles里的文件夹都是用随机名的 

seabluecn
关注
专栏目录
AppInit_DLLs被劫持与解析
testalllife的专栏
03-02 6827
AppInit, DLLs, 解析AppInit_DLLs被劫持及kv*.dll木马群appinit_dlls是什么?appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ,appinit_dlls是不是病毒呢?注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_L
qhbpriAppInit_DLLs专杀
09-07
这个专杀工具可能是由安全研究人员或者反病毒公司开发的,用于帮助用户检测和消除与"qhbpriAppInit_DLLs"相关的威胁。 【描述】"qhbpriAppInit_DLLs专杀"的描述简洁明了,没有提供具体的详细信息。但我们可以推测,...
10.Qwidght
potato123232的博客
07-14 784
1Qweight简介 Qweight是QObject的子类,其为所有可视空间的基类 他本身是一个最简单的空白控件(控件是用户界面的最小元素) 每个控件都是矩形的,控件按照Z轴排序(在界面上为x轴与y轴,z轴为用户面向屏幕的方向,在代码后部的控件会覆盖掉前部的控件) 2查看父类 在pyqt5中可以通过base来查看指定类型的所有直接父类 注:__bases__返回类型为tuple 可以通过mro()查看所有父类(直接与间接) 注:mro()返回类型为list ...
清除恶意木马qhbpri.dll木马群
wsk15046的专栏
07-31 1627
        前几天中了木马,开始没怎么注意,以为是个小木马,最近忙,准备闲的时候再去弄死它,谁知这木马不老实,给我机子上弄一堆兄弟,怒了..         想到他搞了一堆兄弟,于是想到可能是这丫弄了个木马下载器搞一对兄弟来毒害我,不厚道啊         断网先,免得搞再给下木马,断网之后问题来了,也可能不是阻止其下载引起的,先是弹出什么win32 什么handle错误的东东,确定之
ztlpri.dll,SysWin64.Sys,wgdpri.dll病毒手动解决
weixin_30262255的博客
09-05 79
一:问题提出:   双击后打不开盘符,删除autorun后又自动出现。   SREng日志略 二:分析解决: 具体问题具体分析,以下为具体日志分析所得,不保证完全相同,没有的略过即可. 根据SREng(下载地址:down.45it.com)扫描日志请按照如下步骤,尝试删除和修复 1.建议使用XDelBox删除以下文件:(XDelBox下载地址:down.45it.com) 使用说...
logogo.exe威金变种病毒
weixin_34143774的博客
09-08 239
前段时间公司电脑中了logogo.exe这个病毒,在网上搜索一下,得知是8.31号新出来的病毒,还没有任何有效的专杀,看来只能手动杀了。 先用360扫描,扫描出一些***包括wlhpri.dllqhbpri.dll等等***,这些***在system32目录下面也能找到,但是用360杀不掉。 本来因为比较懒,所以不想到安全模式下删了,...
qhbpri***、未知启动项AppInit_DLLs解决办法(试验版)
weixin_33694620的博客
09-15 156
转自:360安全论坛[url]http://bbs.360safe.com/viewthread.php?tid=293986&extra=page%3D1[/url]注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,早期的进程插入式***的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microso...
遭遇Worm.Win32.Viking,Worm.Win32f.ysv,Trojan.PSW.Win32.OnlineGames等
caobihole
07-30 203
遭遇Worm.Win32.Viking,Worm.Win32f.ysv,Trojan.PSW.Win32.OnlineGames等 endurer 原创2007-07-30 第1版 刚才,“遭遇Worm.Viking.tc,Trojan.PSW.Win32.OnlineGames等”一文中的朋友又来求援,说电脑又出现上次的症状……过去一看,系统托盘区里小红伞的监控图标不见了,询问得知是他卸载了...
专杀工具合集
梦醒2010
03-30 1545
专杀工具合集 2008/05/01 18:45 &nbsp; 前不久又中毒了,杀毒软件打不开,大多数安全网站也开不了,明明知道是什么毒,却总是除不掉,进程和注册表也不太懂,重装费时费力,所以把一些常见的专杀工具总结于此,造福人民。 &nbsp; &nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;...
特殊注册表键值"AppInit_Dlls"
weixin_33695450的博客
11-20 343
正常情况下它的值应该是空的。 这个项目表示每当一个程序启动的时候,appinit_dlls中的dll文件就会注入到该程序里面去启动。 举个例子:如果appinit_dlls=qhbpri.dll,那么在登录windows后,系统加载了explorer.exe,那么qhbpri.dll也会出现在其中。 如果被篡改,请按以下步骤操作: 1、打开注册表: 开始——运行——键入:REG...
python 数据类型----可变数据类型
Java_fenxiang的博客
11-13 674
一、list列表类型:一种有序集合,里面有多个数据用逗号隔开,可以对数据进行追加、插入、删除和替换;使用[]标识,可以包含任意数据类型登录后复制 # 字符串类型列表 names=['bill','may','jack'] #整数型列表 numbers = [1,2,34,4] #混合类型列表 values=['Bil...
【数据库系列】如何使用Spring Data Neo4j 实现Cypher查询
颜淡慕潇
11-14 570
在 Spring Data Neo4j 中,实现复杂查询可以通过多种方式进行,包括使用自定义查询、方法命名查询以及使用 Cypher 查询语言。以下是详细介绍,帮助你在 Spring Data Neo4j 中实现复杂查询。
Python中的null是什么?
分享Python、数据分析、人工智能前沿知识
11-14 281
null正确的发音是/n^l/,有点类似四声‘纳儿’,在计算机中null是一种类型,代表空字符,没有与任何一个值绑定并且存储空间也没有存储值。检查 None 的唯一性,它返回某一对象的唯一标识符,如果两个变量的 id 相同,那么它们实际上指向的是同一个对象。在Python中,None、False、0、””(空字符串)、、()(空元組)、{}(空字典)都相当于False。在Python中,None的用处有很多,比如作为变量初始值、作为函数默认参数、作为空值等等。None不等于0、任何空字符串、False等。
【STL】set,multiset,map,multimap的介绍以及使用
m0_73634434的博客
11-14 818
管方英文介绍:中文介绍:1. set是按照一定次序存储元素的容器,使用set的迭代器遍历set中的元素,可以得到有序序列2. 在set中,元素的value也标识它(value就是key,类型为T),并且每个value必须是唯一的。set中的元素不能在容器中修改(元素总是const),但是可以从容器中插入或删除它们。它的迭代器都是const_iterator3. 在内部,set中的元素总是按照其内部比较对象(类型比较)所指示的特定严格弱排序准则进行排序。
《FreeRTOS列表和列表项篇》
zhz_java的博客
11-14 104
FreeRTOS的列表和列表项
Windows】CMD命令学习——系统命令
一个写了10年bug的程序员日常笔记。
11-07 1426
CMD(命令提示符)是Windows操作系统中的一个命令行解释器,允许用户通过输入命令来执行各种系统操作。
Flutter:父组件,向子组件传值,子组件向二级页面传值
sunluyi的博客
11-14 119
父页面,传值给子组件,子组件把数据传递给二级页面。子组件:SearchCell。
ArrayList 源码分析
2401_85327573的博客
11-14 814
的底层是数组队列,相当于动态数组。与 Java 中的数组相比,它的容量能动态增长。需要目标数组,将原数组拷贝到你自己定义的数组里或者原数组,而且可以选择拷贝的起点和长度以及放入新数组中的位置。值无意义,会让代码难以维护比如忘记做判空处理就会导致空指针异常。中大量调用了这两个方法。是系统自动在内部新建一个数组,并返回该数组。方法源码我们知道:如果新容量大于。中可以存储任何类型的对象,包括。方法非常简单,内部直接调用了。大于最大容量,则新容量则为。ArrayList 类图。,否则,新容量大小则为。
Python Day5 进阶语法(列表表达式/三元/断言/with-as/异常捕获/字符串方法/lambda函数
最新发布
feifeikon的博客
11-14 684
第一点:一个有函数名,一个没有函数名第二点:lambda 表达式后面只能有一个表达式,多个会出现错误,也就是下面的代码是不会出现的。# 都是错误的由于这个原因的存在,很多人也会把 lambda 表达式称为单表达式函数。第三点:for 语句不能用在 lambda 中有的地方写成了 if 语句和 print 语句不能应用在 lambda 表达式中,该描述不准确,例如 下述代码就是正确的。基本结论就是:lambda 表达式只允许包含一个表达式,不能包含复杂语句,该表达式的运算结果就是函数的返回值。
两个链表求并集、交集、差集
2401_82641862的博客
11-11 327
两个链表求并集、交集、差集其实都是创建一个新链表然后遍历插入的题型,所以下边就举并集一个例子。两个链表求并集、交集、差集。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值