- 北有云溪
-
解决办法:
一、清除ghost.pif产生的病毒文件
重启计算机 进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击
“是” 然后确定
打开任务管理器-进程-结束explorer进程 此时桌面消失
点击 任务管理器菜单栏 文件-新建任务-浏览 在弹出的浏览窗口里找到
%ProgramFiles%Common Filesgoskdl.dll(随机6位字母文件名)
%ProgramFiles%Internet Explorer ksldk.bak(随机6位字母文件名)
%ProgramFiles%Internet Explorer ksldk.dll(随机6位字母文件名)
%ProgramFiles%Internet Explorer ksldk.ebk(随机6位字母文件名)
右键删除他们
二、清除ghost.pif下载的木马*door0.dll
还是在任务管理器里面 (依旧结束explorer进程)
点击 任务管理器菜单栏 文件-新建任务-输入cmd 确定
打开了命令行窗口
在命令行窗口中进入%system32%文件夹
然后 输入 del *door0.dll /f /q
点击 任务管理器菜单栏 文件-新建任务-输入explorer.exe 确定
三、清理注册表
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:Program FilesInternet Explorer ksldk.dll> [Microsoft Corporation](随机6位字母文件名)
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:WINDOWSsystem32wldoor0.dll> []
<{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:WINDOWSsystem32wmdoor0.dll> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:WINDOWSsystem32qjdoor0.dll> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:WINDOWSsystem32dadoor0.dll> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:WINDOWSsystem32mydoor0.dll> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:WINDOWSsystem32qhdoor0.dll> []
<{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:WINDOWSsystem32zxdoor0.dll> []
<{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:WINDOWSsystem32 ldoor0.dll> []
<{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:WINDOWSsystem32wddoor0.dll> []
<{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:WINDOWSsystem32 xdoor0.dll> []
<{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}><C:WINDOWSsystem32fydoor0.dll> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:WINDOWSsystem32wgdoor0.dll> []
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:WINDOWSsystem32ztdoor0.dll> []
<{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:WINDOWSsystem32jtdoor0.dll> []
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:WINDOWSsystem32wodoor0.dll> []
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:WINDOWSsystem32mhdoor0.dll> [](等所有*door0.dll的项目)
系统修复-浏览器加载项-找到如下项目 点击删除项目,在弹出的对话框中点“是”
[]
{C1626E66-C26B-C628-E1DF-CDACCFA26EE1} <C:Program FilesCommon Filesgoskdl.dll, Microsoft Corporation> (随机6位字母文件名)
四、删除瑞星 江民 卡巴 360文件夹下的MFC42.DLL
方法:
新建一个记事本文件
输入如下字符
DEL /F /A /Q \?\%1
RD /S /Q \?\%1
保存为1.bat文件
将要删除的MFC42.DLL文件或者文件夹,用鼠标左键拖放到1.bat的文件图标上(就像把文件拖到文件夹里的操作一样),一个CMD窗口闪烁之后伪"MFC42.DLL"文件夹就被删除了
近来出现的打开IE或者我的电脑杀毒软件监控就关闭和按照原来的方法无法解决杀毒软件应用程序正常初始化(0xc00000ba)失败的现象也是由于此病毒引起,所以可按此法一并解决
- 牛云
-
清除后最好再安个系统影子 , 因为你小子运气太好了,中就中厉害的病毒!!!
- 北营
-
对于***pri.dll system16.ins病毒根除
的病毒已经不能列为IT专题
而应作为社会现象看待
***pri.dll病毒网上解决方案并不多
其症状是开机从c-c1.cn下载盗号木马
上个sr的log分析一下
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{24123FF1-8371-9834-9021-184518451FA2}><C:WINDOWSsystem32qjbpri.dll> []
<{014A26F5-FBAD-4549-9CA1-C38210704BD1}><C:Program FilesCommon FilesMicrosoft SharedMSINFOSystem16.ins> []
<{12311A42-AC1B-158F-FD32-5674345F23A1}><C:WINDOWSsystem32dhapri.dll> []
<{325AB2F3-234A-7469-2F43-E341713ABFA3}><C:WINDOWSsystem32wgcpri.dll> []
<{C5E87A05-F463-4841-B19E-DD3EC3862368}><C:Program FilesInternet ExplorerIEXPLORE32.Sys> []
<{EE12D60D-AD9A-4095-B839-3BE6862679FD}><C:Program FilesInternet ExplorerIEXPLORE32.Dat> []
<{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}><C:Program FilesInternet ExplorerIEXPLORE32.win> []
<{40117B96-998D-4D80-8F89-5E9DBD9F3460}><C:Program FilesInternet ExplorerPLUGINSSysWin64.Sys> []
<{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:WINDOWSsystem32jhapri.dll> []
注意那堆pri.dll结尾的文件以及ie目录下的文件
不过关键么是system16.ins/jup
<AppInit_DLLs><qjbpri.dll>
这个选项默认应该为空的
<RAV00AE><C:WINDOWSsystem32RAV00AE.exe> <AVPSrv><C:WINDOWSAVPSrv.exe>
这个,不是毒随便怎么样
注意explorer的钩子
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{24123FF1-8371-9834-9021-184518451FA2}><C:WINDOWSsystem32qjbpri.dll> []
<{014A26F5-FBAD-4549-9CA1-C38210704BD1}><C:Program FilesCommon FilesMicrosoft SharedMSINFOSystem16.ins> []
<{12311A42-AC1B-158F-FD32-5674345F23A1}><C:WINDOWSsystem32dhapri.dll> []
<{325AB2F3-234A-7469-2F43-E341713ABFA3}><C:WINDOWSsystem32wgcpri.dll> []
<{C5E87A05-F463-4841-B19E-DD3EC3862368}><C:Program FilesInternet ExplorerIEXPLORE32.Sys> []
<{EE12D60D-AD9A-4095-B839-3BE6862679FD}><C:Program FilesInternet ExplorerIEXPLORE32.Dat> []
<{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}><C:Program FilesInternet ExplorerIEXPLORE32.win> []
<{40117B96-998D-4D80-8F89-5E9DBD9F3460}><C:Program FilesInternet ExplorerPLUGINSSysWin64.Sys> []
<{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:WINDOWSsystem32jhapri.dll>
要杀哪些清楚了吧
另外,正在运行中的进程都给挂上了pri.dll
所以不要指望能直接删掉
[PID: 688 / SYSTEM][C:WINDOWSsystem32services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:WINDOWSsystem32qjbpri.dll] [N/A, ]
[PID: 700 / SYSTEM][C:WINDOWSsystem32lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:WINDOWSsystem32qjbpri.dll] [N/A, ]
[C:WINDOWSsystem32imon.dll] [Eset , 2, 70, 32 ]
[C:Program FilesEsetpr_imon.dll] [N/A, ]
[PID: 856 / SYSTEM][C:WINDOWSsystem32svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:WINDOWSsystem32qjbpri.dll] [N/A, ]
[PID: 920 / NETWORK SERVICE][C:WINDOWSsystem32svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:WINDOWSsystem32qjbpri.dll] [N/A, ]
[C:WINDOWSsystem32imon.dll] [Eset , 2, 70, 32 ]
[C:Program FilesEsetpr_imon.dll] [N/A, ]
[PID: 1024 / SYSTEM][C:WINDOWSSystem32svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:WINDOWSSystem32qjbpri.dll] [N/A, ]
[C:WINDOWSsystem32imon.dll] [Eset , 2, 70, 32 ]
[C:Program FilesEsetpr_imon.dll] [N/A, ]
包括nod32也没有幸免
[PID: 1616 / SYSTEM][C:Program FilesEset od32krn.exe] [Eset , 2, 70, 32 ]
[C:WINDOWSsystem32qjbpri.dll] [N/A, ]
[C:Program FilesEset od32krr.dll] [Eset , 2, 70, 32 ]
[C:Program FilesEsetps_amon.dll] [Eset , 2, 70, 32 ]
[C:Program FilesEsetpr_amon.dll] [Eset , 2, 70, 32 ]
[C:Program FilesEsetps_dmon.dll] [Eset , 2, 70, 32 ]
[C:Program FilesEsetpr_dmon.dll] [N/A, ]
[C:Program FilesEsetps_emon.dll] [Eset , 2, 70, 32 ]
[C:Program FilesEsetpr_emon.dll] [N/A, ]
[C:WINDOWSsystem32imon.dll] [Eset , 2, 70, 32 ]
[C:Program FilesEsetpr_imon.dll] [N/A, ]
[C:Program FilesEsetps_nod32.dll] [Eset , 2, 70, 32 ]
[C:Program FilesEsetpr_nod32.dll] [Eset , 2, 70, 32 ]
[C:Program FilesEsetps_upd.dll] [Eset , 2, 70, 32 ]
[C:Program FilesEsetpr_upd.dll] [N/A, ]
解决方法
用XDelBox1.3做掉文件,然后进系统删掉注册表里相关的值
xdelbox的使用方法自己baidu或者google
***pri.dll全做掉,ie目录下的那几个iexplorer32.xxx全做掉
ie的plugin目录下的SysWin64.Sys以及.jmp文件做掉
C:Program FilesCommon FilesMicrosoft SharedMSINFOSystem16.ins做掉,同样目录下的system16.jup也做掉
<AppInit_DLLs><qjbpri.dll>
改成<AppInit_DLLs><>
值去掉
appinit_dlls不一定指向qjbpri.dll的
不过肯定是pri.dll结尾的
- 康康map
-
360发布qhbpri *pri.dll木马专杀工具!
【qhbpri木马简介】
1.变名,变形,大量自我复制(*pri.dll,前面为变名字母),躲避杀毒软件查杀,普通方式无法彻底清除
2.非法修改Windows注册表AppInit_DLLs达到优先启动的效果。
3.隐蔽插入到其他程序进程,普通方式难以查杀。
4.下载其他木马,与木马指定的服务器通讯,泄露用户隐私,盗窃网络财产帐号。
5. 360安全卫士主程序检测到【qhbpri木马】和【未知启动项AppInit_DLLs正在被装入】
论坛用户登陆后
点击下载qhbpri木马(*pri.dll木马)专杀:
qhbpri木马专杀.rar (206.85 KB)
HTTP下载:http://dl.360safe.com/killer_qhbpri.exe
- 桃桃
-
我都怀疑了,楼上的真的都是高手么,楼主我告诉你个很简单的方法,你去下栽一个病毒木马删除软件,很好下的,上百度一搜就搜到了,用法很简单,肯定不用我交你,你找到你电脑上的那个DLL文件,彻底删除后,重起下机器就OK了,
- 余辉
-
重装机
- meira
-
着病毒很顽固!!
病毒一般的表现为
在system32下面生成 很多6个字母的dll 且名称为xxxpri.dll(xxx代表随机)
且所有的dll插入explorer等进程 动态守护 动态监控注册表
注册表启动方式一般如下
一部分通过 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWindows下的AppInit_DLLs加载 保证他能在安全模式下运行
其他一部分通过HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks下面创建自己的键 来加载 且只要有一个加载成功 病毒就不会被彻底干掉 所以对付这类病毒必须一网打尽
下面举一例说明如何查杀该类病毒
扫描的病机sreng日志如下 (sreng下载地址http://download.kztechs.com/files/sreng2.zip)
启动项目
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWindows]
<AppInit_DLLs><ztipri.dll> []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{2F12545B-1212-1314-5679-4512ACEF8902}><C:WINDOWSsystem32wdbpri.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:WINDOWSsystem32qhbpri.dll> []
<{91351752-5628-1547-FFAB-BADC13512AF9}><C:WINDOWSsystem32ztipri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:WINDOWSsystem32dhbpri.dll> [N/A]
<{5A65498A-7653-9801-1647-987114AB7F45}><C:WINDOWSsystem32zxepri.dll> []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:WINDOWSsystem32xyepri.dll> [N/A]
...
操作步骤:
1.重命名以下文件的文件名(包括但不限于,只要是xxxpri.dll就是此类病毒的同伙)
C:WINDOWSsystem32wdbpri.dll
C:WINDOWSsystem32qhbpri.dll
C:WINDOWSsystem32ztipri.dll
C:WINDOWSsystem32dhbpri.dll
C:WINDOWSsystem32zxepri.dll
C:WINDOWSsystem32xyepri.dll
所有文件必须都要重命名
不能落掉一个 否则会功亏一篑
2.重启计算机
此时可能会报加载 某某dll错误 不要管他 出现这个错误其实是你成功的标志!
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除C:WINDOWSsystem32wdbpri.dll
C:WINDOWSsystem32qhbpri.dll
C:WINDOWSsystem32ztipri.dll
C:WINDOWSsystem32dhbpri.dll
C:WINDOWSsystem32zxepri.dll
C:WINDOWSsystem32xyepri.dll
你刚刚重命名的那些文件
打开sreng
启动项目 注册表 删除如下项目
双击AppInit_DLLs 把其键值改为空
删除 <{2F12545B-1212-1314-5679-4512ACEF8902}><C:WINDOWSsystem32wdbpri.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:WINDOWSsystem32qhbpri.dll> []
<{91351752-5628-1547-FFAB-BADC13512AF9}><C:WINDOWSsystem32ztipri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:WINDOWSsystem32dhbpri.dll> [N/A]
<{5A65498A-7653-9801-1647-987114AB7F45}><C:WINDOWSsystem32zxepri.dll> []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:WINDOWSsystem32xyepri.dll> [N/A]
即可
由于此病毒一般为木马下载器所下 所以如果发现了此病毒 肯定机器还有其他病毒或者木马 需要用杀毒软件配合手动 清除掉所有残余的病毒和木马!
- 好投
-
大家说的很全了,顶一下吧
- 肖振
-
你可以试用一下这个简单的办法:找到中毒文件所在 然后给它重命名 如果能重命名的话该文件将不可用 病毒也就没有了