最新AppInit_DLLs病毒清理方法<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
感染
AppInit_DLLs
病毒后,会在系统注册表的
AppInit_DLLs
键值中添加病毒体文件的加载项,当系统启动时,就会加载至系统当前进程中,而且此病毒使用了保护机制,当发现相关注册表键被修改或病毒体文件被清除后,会重新生成相关注册表键和病毒体文件,导致病毒无法删除。针对此,我总结了一种清除方法如下。
使用到的工具:
1、
WINPE
光盘系统
2、
最新版
360
安全卫士
3、
Windows
清理助手
4、
恶意软件清理助手
5、
金山清理专家
6、
Sreng2
7、
360
顽固***专杀大全
8、
SysinternalsSuite
工具箱
一、
WINPE
工具光盘中的操作
因为此病毒是在系统启动时进行加载,且具有保护机制,所以我们先使用
WINPE
工具光盘系统来清除病毒体和相关注册表键值,以达到破坏病毒的保护机制。
使用
WINPE
工具光盘引导计算机进入
PE
系统中,使用手工和安全工具结合的方法来操作。
1、
清除硬盘系统中病毒的相关注册表
AppInit_DLLs
键的值
感染此病毒后,会在注册表的
AppInit_DLLs
键值中添加病毒体文件的挂载项,每次启动系统后,会加载病毒体文件,因此,我们必须破坏病毒在注册表中的加载项。
使用
WINPE
光盘系统中的“编辑目录
Windows
注册表
Regedit
”工具来编辑硬盘中的系统注册表,删除
AppInit_DLLs
键值中的病毒体链接。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
![](https://i-blog.csdnimg.cn/blog_migrate/73291baa3bf58acf7a3f6b8f878fc679.jpeg)
(选择硬盘系统所在的系统目录,如系统在
C
盘,则选择
C:\Windows
目录)
![](https://i-blog.csdnimg.cn/blog_migrate/cd29fad331f8d3f2fd22daca590ca4fd.jpeg)
AppInit_DLLs
键位于下图所示的注册表位置
![](https://i-blog.csdnimg.cn/blog_migrate/c04d12c01e601d68fcb0c6387f6d0fa6.jpeg)
就将注册表恢复为下图所示的空值(也有一些防病毒软件会在此处添加链接,如:卡巴斯基防病毒软件)
![](https://i-blog.csdnimg.cn/blog_migrate/a52b7933dd87f1fbae174c7cb842f605.jpeg)
2、
安装
360
安全卫士进行硬盘的病毒查杀
因为很多安全工具是针对当前系统进行病毒的查杀,所以如果要在
WINPE
光盘系统中针对硬盘系统来进行病毒的清理,则必须使用可以指定清理区域路径的安全工具。
在本
WINPE
光盘系统中可以安装软件,所以我们可以安装
360
安全卫士并指定其查杀区域来进行病毒的清理。
![](https://i-blog.csdnimg.cn/blog_migrate/e2c2184bf15e19904a58f7562cb80daa.jpeg)
(注意:在扫描完毕后,其中有一个“
X
”盘的病毒不要选择,那个是
WINPE
光盘系统中的系统文件,清除此文件会引起
WINPE
光盘系统蓝屏)
3、
使用“
Windows
清理助手”指定区域进行硬盘的病毒查杀
Windows
清理助手也可以指定相关的区域来进行病毒的清理,所以我们也可以用它在
WINPE
光盘系统中进行病毒的清理。操作步骤如下图:
![](https://i-blog.csdnimg.cn/blog_migrate/dc1253a40ee430b2b74bb01c04101dec.jpeg)
4、
手工进行硬盘中病毒的清理
设置
显示所有文件后,再查找删除
%WINDIR%
、
%WINDIR%\SYTEM32
、
%WINDIR%\FONTS
、
%WINDIR%\SYSTEM32
、
DRIVERS
等目录以及各根目录下的病毒文件及垃圾文件。
![](https://i-blog.csdnimg.cn/blog_migrate/7af1614ed013cde118c5625f460c1255.jpeg)
设置
显示公司名称,然后查找那些无公司名称的
EXE
、
SYS
、
DLL
类型的文件,如果不能确定是否是病毒文件的,可以在网络上去搜索下是什么文件;一般的病毒文件取名都是那种随机的文件名(例如:
a.exe
、
1.exe
之类),删除这些文件,如果不能清除的话,可以使用冰刃进行强行删除。
![](https://i-blog.csdnimg.cn/blog_migrate/de908671d5526fa5f978ff990b3434f3.jpeg)
5、
删除系统中的垃圾文件
有很多病毒会存在于系统中的垃圾文件目录以及各分区的卷标目录下,因此我们需清除这些目录下的文件。
删除如图中的
TEMP
及
Temporary Internet Files
下的文件、
Content.IE5
下的文件夹;以及
卷标目录下的所有文件及文件夹;删除
目录下的所有文件及文件夹
……
![](https://i-blog.csdnimg.cn/blog_migrate/49194fc09a7e5b53d0a9e6865ef567ce.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/dffc9e1028971c5ba3b52ba19bca3b97.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/c98b1c7b476aed4a229a78e3eae4a4c8.jpeg)
二、
硬盘系统安全模式的操作
因系统中还有一些病毒的加载没有清除,所以必须先进入安全模式进入病毒的清理。
1
、使用
360
安全卫士进行***与插件的清除
重启系统进入硬盘系统的安全模式,重新安装
360
安全卫士,进行恶评软件的扫描与清除、进行查杀***的全盘扫描与清除。
2
、使用
Windows
清理助手、恶意软件清理助手进行***的清除
使用
Windows
清理助手、恶意软件清理助手全盘进行***的扫描与清除。
3
、使用金山清理专家清理病毒
安装金山清理专家进行***的清理。
4
、使用
SysinternalsSuite
工具箱进行清理
使用
SysinternalsSuite
中的
程序进行注册表、驱动、
AppInit_DLLs
等位置病毒加载的清除。如下图
![](https://i-blog.csdnimg.cn/blog_migrate/a68c08d32136b38b171eea62bc61a3f2.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/fca8b47529491dbac411aa98bc6d63bf.jpeg)
主要查找各页面中的非微软项,删除其中的病毒加载项。
5、
使用
Sreng
修复系统
使用
Sreng
修复系统文件关联、
Windows Shell / IE
;
![](https://i-blog.csdnimg.cn/blog_migrate/6f9e0ef428ae5ddb80625f629e866147.jpeg)
清除“
Win32
服务应用程序”及“驱动程序”中的病毒加载项
![](https://i-blog.csdnimg.cn/blog_migrate/d49c7742455f644c1188a4da727a418c.jpeg)
如果不能确定的到网上去查找资料确定为病毒的再删除
![](https://i-blog.csdnimg.cn/blog_migrate/7480e66483671a5c8676b3c90f2e712a.jpeg)
(注意:有一部分病毒会注册这两类服务,注意其中有一个
SECDRV
及
TCP
的服务不能删,否则系统启动不了或无法使用网络)
6、
使用“
360
顽固***专杀大全”进行***的清除
使用“
360
顽固***专杀大全”进行顽固***的清除、免疫与系统相关方面的修复。
![](https://i-blog.csdnimg.cn/blog_migrate/239ba07f0d4809b05175c2f1a6389646.jpeg)
7、
使用
Symantec
防病毒软件查杀病毒
最后使用
Symantec
防病毒软件查杀一次病毒。
三、
正常模式下进行病毒查杀
最后,在正常模式下进行一次病毒的查杀,检查是否已彻底清除病毒。
本方法适用于所有病毒的清除。
加安:李政
2008-6-30
转载于:https://blog.51cto.com/xingyi/148543