遭遇AppInit_Dlls病毒(木马)

最新推荐文章于 2024-01-11 16:59:23 发布
最新推荐文章于 2024-01-11 16:59:23 发布
阅读量226 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/mywebname/archive/2008/06/13/1219411.html
版权


同事计算机启动后安全卫士突然报装载xxyu.dll(某盗号木马),马上按照老的方式,在注册表里面搜索,找到相关项以及ClassID,统统备份删除,结果问题如故,看看还不是那么简单了。
后来发现有一个注册表项AppInit_Dlls无论怎么删除修改,总是自动还原为带有上述dll的值。
上网搜索了一下相关资料,原来可以利用该项通过Explorer来加载dll的。
对于此类情况,可使用X-PS来卸载dll:
打开CMD,然后用任务管理器终止EXPLORER(有时Explorer会加载dll导致无法卸载木马DLL模块,影响手动清除,所以最好先终止)。
在CMD里执行
ps /m /f sidjazy.dll(列出哪些进程包含xxyu.dll模块),
ps /e * sidjazy.dll(卸载所有进程中的xxyu.dll模块),执行这个卸载命令后会出现下图的WINLOGON提示,如果点确定或取消都会立刻蓝屏的,将提示窗口移到一边,不管它。
再执行ps /m /f xxyu.dll看看有没有进程仍加载此模块,如果有残留,继续执行卸载命令,确保卸载完毕。
在CMD下转到c:\windows\system32下,执行attrib xxyu.dll -r -s -h,最后del xxyu.dll
清除注册表相关项。

经过以上操作,重启,问题暂时解决,结果发现非安全模式下又出现了,这个东东的确比较厉害的,安全卫士还经常报www.baiduby.com/PE_PATCH.UPX//UPX,真是无计可施了。

不知道大家是否碰到类似情况,也请分享一下解决方法。

转载于:https://www.cnblogs.com/mywebname/archive/2008/06/13/1219411.html

巷中人
关注
想玩一个简单的注入??AppInit_DLLs注册表项注入它来了
KOOKNUT的博客
06-29 1647
之前介绍过一些Ring3层的注入方式,但那些都是需要用代码来实现注入,实现起来相对来说比较复杂。如果有兄弟想试一下注入的快感,又不想写复杂的程序,那么不妨可以玩玩注册表的注入方式。 不过这种注入方式有他的弊端,那就是注入的程序必须加载user32.dll,也就说通常是那些GUI程序才可以。原因是,每当启动一个GUI程序,他都会扫描注册表的AppInit_DLLs项,看看其中有没有制定的目标库,如果有,那就在程序运行时,首先主动加载该动态库,所以我们只需要将Dll完整路径写在这个位置,就可完成注入。值得一提的
AppInit_DLLs被劫持与解析
testalllife的专栏
03-02 6791
AppInit, DLLs, 解析AppInit_DLLs被劫持及kv*.dll木马appinit_dlls是什么?appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ,appinit_dlls是不是病毒呢?注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_L
DLL注入练习之注册表主表-AppInit_DLLs表项
RickGray
06-04 5959
上一遍介绍了DLL远程注入的基本原理,在这篇文章中,就来看看另一个DLL注入的方法,注册表DLL注入。 其实注册表注入相对远程DLL注入来说更简单、更方便一点,只需在注册表中修改AppInit_DLLs和LoadAppInit_DLLs的键值即可。 (User32.dll被加载到进程时,会获取AppInit_DLLs注册表项,若有值,则调用LoadLibrary() API加载用户DLL。所有
DLL注入之Appinit_Dlls
swanabin的专栏
03-18 6155
AppInit_DLLs is a mechanism that allows an arbitrary list of DLLs to be loaded into each user mode process on the system. Microsoft is modifying the AppInit DLLs facility in Windows 7 and Windows Serv
特殊注册表键值"AppInit_Dlls"
weixin_33695450的博客
11-20 332
正常情况下它的值应该是空的。 这个项目表示每当一个程序启动的时候,appinit_dlls中的dll文件就会注入到该程序里面去启动。 举个例子:如果appinit_dlls=qhbpri.dll,那么在登录windows后,系统加载了explorer.exe,那么qhbpri.dll也会出现在其中。 如果被篡改,请按以下步骤操作: 1、打开注册表: 开始——运行——键入:REG...
药到病除之清除appinit_dlls病毒
我的幻想之都
10-15 4403
第一次替朋友查杀该病用了三个多小时。病毒特征,在每次清appinit_dlls注册表项后自动改换文件名,appinit_dlls被重写;无法进安全模式(进则蓝屏);系统是财务使用有些软件比较难搞到,所以不能重装;瑞星、360对此无效果。经验总结清除次序,使用360对可见病毒清除(360已知),改注册表将shell="explorer.exe"改为"regedit.exe"或regedt32.e
常被病毒破坏的注册表项
04-10
位置:`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs` **正常情况**:该键值通常为空。当存在键值时,表示系统启动时会加载指定的DLL文件。 - **风险**:恶意软件可能利用...
手工清除Ntdll32.dll木马病毒 W32.Fujacks!html
Arzhuo的专栏
03-16 7107
近日,客户说机器怎么越来越慢实在是用不了。Symantec和瑞星老是报一个NTdll32.dll木马病毒就是干不掉。到现场一看,原来是瑞星死缠着这个病毒不放,把CPU和内存都耗尽了,当然动不了了。客户还反应卡巴斯基都干不掉      下面是从别处找到的资料。然后是我自己的做法。   病毒类型:W32.Fujacks!html Win32.troj.agent.s.412671   加载方法:
病毒分析常见速查
Snake_74的博客
06-30 3515
文章目录注册表父进程环境变量与对应路径宏病毒相关常用"宏"的名称隐蔽执行手段调用外部例程和命令执行宏病毒恶意行为常用字符 注册表 父进程 进程名 作用 路径 EQNEDT32 公式编辑器 C:\Program Files\Common Files\microsoft shared\EQUATION\EQNEDT32.EXE winword office办公软件 环境变量与...
映像劫持技术(IFEO)介绍以及解决方案
03-24
- `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs`:可以注入DLL到所有进程。 - `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify`:控制登录界面的...
pifpaf, 功能测试的python fixture和守护程序管理工具.zip
09-18
pifpaf, 功能测试的python fixture和守护程序管理工具 Pifpaf Pifpaf是一套 fixture 和一个命令行工具,允许启动和停止守护进程,以便快速丢弃使用。 当需要这些守护进程运行集成测试应用程序时,这通常很有用。 它的originaly是由它的precussor over
PIF DESIGNER 2.2爱普生自制魔板软件
07-16
http://www.epson.com.cn/apps/tech_support/faq/QA-content.aspx?_columnId=138&ArticleId=2845&pg;=&view;=&_columnId2=138
后门及持久化访问3----进程注入之AppInit_DLLs注册表项
浅笑996的博客
07-01 780
进程注入之AppInit_DLLs注册表项 User32.dll被加载到进程时,会获取AppInit_DLLs注册表项,若有值,则调用LoadLibrary() API加载用户DLL。只会影响加载了user32.dll的进程。 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Window\Appinit_Dlls 代码如下: #include #include using namespace std; int
AppInit_DLLs! 杀除方法
weixin_30362233的博客
11-21 186
AppInit_DLLs! 杀除方法 1、启动注册表: 开始——运行——键入:REGEDIT——打开注册表 按照360提示的位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\...
使用注册表Applint_DLLs的DLL注入
最新发布
m0_68653650的博客
01-11 625
软件逆向工程课程,仅限用于课程学习,切记不要用于其他用途哦!
利用AppInit_Dlls注入在win10上的限制
weixin_33970449的博客
11-21 725
起因 AppInit_Dlls注入方法特别简便,日常注入测试首选,在win7上屡试不爽,具体原理如下: support.microsoft.com/en-us/help/… docs.microsoft.com/en-us/windo…windows-7-and-windows-server-2008-r2 但是最近使用win10系统之后发现,注入方法失效。在检查过所有的配置都正确之...
DLL注入——使用注册表
希望能帮助大家,希望大家多多支持,你们的支持是我前进的动力。
08-24 4194
整个系统的配置都保存在注册表中,我们可以通过调整其中的设置来改变系统的行为。该方式依赖User32.dll,也就是说,需要可执行程序调用到这个系统动态库,我们注入的dll才会被执行到。基本上所有基于GUI的应用程序都使用了User32.dll。// AppInit_Dlls(64位程序读取)//AppInit_Dlls(32位程序读取)//32位系统查看注册表:windows+R键,输入regedit。
关于AppInit_DLLs
weixin_34026276的博客
07-26 297
在以下注册表项中找到 AppInit_DLLs 值: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows 默认值为空! 一种***可能用到的方法! 注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,早期的进程插入式***的伎俩,通过修改注册表中的[...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值