瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 关于最近流行的dhbpri.dll(***pri.dll)等木马群的查杀(8.30更新)
newcenturymoon - 2007-8-1 15:50:00
8.30发现此类木马的变种*man.dll 具体查杀方法见http://forum.ikaka.com/topic.asp?board=28&artid=8360878

最近dhbpri.dll等的木马群十分盛行,在查杀中不少网友说删除不了启动项,因为病毒监控了他的启动项目,一旦删除立即恢复,对付此类病毒的解决方法是重命名文件法
此病毒一般的表现为
在system32下面生成 很多6个字母的dll 且名称为xxxpri.dll(xxx代表随机)
且所有的dll插入explorer等进程 动态守护 动态监控注册表
注册表启动方式一般如下
一部分通过 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows下的AppInit_DLLs加载 保证他能在安全模式下运行
其他一部分通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面创建自己的键 来加载 且只要有一个加载成功 病毒就不会被彻底干掉 所以对付这类病毒必须一网打尽

下面举一例说明如何查杀该类病毒
一.手动查杀
扫描的病机sreng日志如下 (sreng下载地址http://download.kztechs.com/files/sreng2.zip)
启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
      <AppInit_DLLs><ztipri.dll>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      <{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll>    []
      <{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll>    []
      <{91351752-5628-1547-FFAB-BADC13512AF9}><C:\WINDOWS\system32\ztipri.dll>    []
      <{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll>    [N/A]
      <{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll>    []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:\WINDOWS\system32\xyepri.dll> [N/A]
...
操作步骤:
1.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开C:\windows\system32文件夹 单击上面的搜索按钮
全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
所有文件必须都要重命名
不能落掉一个 否则会功亏一篑
2.重启计算机
此时可能会报加载 某某dll错误 不要管他 出现这个错误其实是你成功的标志!

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
你刚刚重命名的那些文件
打开sreng
启动项目    注册表 删除如下项目
双击AppInit_DLLs 把其键值改为空

删除      <{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll>    []
      <{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll>    []
      <{91351752-5628-1547-FFAB-BADC13512AF9}><C:\WINDOWS\system32\ztipri.dll>    []
      <{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll>    [N/A]
      <{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll>    []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:\WINDOWS\system32\xyepri.dll> [N/A]
即可

二.专杀查杀

8.9更新 360发布该病毒专杀 下载地址 http://dl.360safe.com/killer_qhbpri.exe

由于此病毒一般为木马下载器所下 所以如果发现了此病毒 肯定机器还有其他病毒或者木马 需要用杀毒软件配合手动 清除掉所有残余的病毒和木马!



附件: 554345200789162927.jpg
超级游戏迷 - 2007-8-1 16:08:00
及时雨啊!最近中这个病毒的朋友太多了!
奇迹天下 - 2007-8-1 16:16:00
比较反感下载者类的木马,清理起来太累了。。。
我觉得杀毒软件公司应该截获几个下载者留着做蜜罐
有毒必问 - 2007-8-1 16:24:00
这些病毒RS应该能杀啊~
lxr123 - 2007-8-1 16:41:00
大热天的及时雨
木马将军 - 2007-8-1 16:45:00
没的意思!!
petty - 2007-8-1 17:14:00
太好了,只好手动删除了
zzh220 - 2007-8-1 17:16:00
谢谢楼主啊
新版小欧 - 2007-8-1 17:59:00
郁闷~~要是针对一种木马就简单多佬~

现在的木马,要中就中一大堆~

所以啊,大家还是注意一下自己的上网习惯,和加强相关方面的知识~~~
中分 - 2007-8-1 18:07:00
我昨天就遇见了,,可是,,sreng 这些都不能用呀。那怎么办呢?打不开,点就把sreng删掉了。。冰刃报错误代码4,,我发了一个贴,,楼主能帮我看下吗/
303266474 - 2007-8-1 20:32:00
汗一下,忘了重命名
超级游戏迷 - 2007-8-1 21:01:00
【回复“newcenturymoon”的帖子】既然这么危险,是否可用猫哥的办法,通过注册表编辑器的“权限”来设定[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]这个子项的访问和修改权限,以保证其值项<AppInit_DLLs>的数据不被病毒通过超级管理员或管理员帐户进行修改?
好奇问下。
小麦mai - 2007-8-1 21:29:00
楼主好,我服务器也遇到同样问题,2K系统,发现ztkpri.dll和qjepri.dll两个病毒,
通过 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows下的AppInit_DLLs加载
并且系统时间变为2099年1月1日或2088年1月1日(怀疑是其他病毒)
无法进安全模式,一进就蓝屏(提示由病毒引起),按照你说的步骤,在正常模式下改名,之后SRENG、autoruns.exe 、瑞星和相关安全网页等安全软件全部不法打开,请问该怎么办?急盼回复!
博导 - 2007-8-1 22:09:00
这个鸟木马还不算太麻烦,用syscheck ,icesword,regworkshop,360safe秒杀。然后把坑一占。一切OK!

什么启动项啊?什么的,不用管
UFO哈哈 - 2007-8-2 1:21:00
非常及时的雨,救了很多人。
帅的被贼砍 - 2007-8-2 2:53:00
xxxpri.dll  这些  可以强行删除解决..删除后 重启就可以 清除启动了...  除了xxxpri.dll    还随之 .ini    今天我正好帮朋友弄的就是这个病毒... 除了这些 好像有  1.exe  加个 1.bat.  2.exe  2.bat  等  ......随往后...
newcenturymoon - 2007-8-2 10:59:00
引用:
【超级游戏迷的贴子】【回复“newcenturymoon”的帖子】既然这么危险,是否可用猫哥的办法,通过注册表编辑器的“权限”来设定[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]这个子项的访问和修改权限,以保证其值项<AppInit_DLLs>的数据不被病毒通过超级管理员或管理员帐户进行修改?
好奇问下。
………………

可已经修改了 那限制权限还有用么?
暗焰欣空 - 2007-8-2 11:52:00
学习拉~~~~~~~
TnayrbeboK - 2007-8-2 13:05:00
感谢啊~~~@!!!
最进正烦呢!
不知道能行吗?
我是流浪猪 - 2007-8-2 14:14:00
谢谢楼主
TnayrbeboK - 2007-8-2 15:03:00
为什么用sreng搜索出C:\WINDOWS\system32\jzfpri.dll
却不能找到它呢```这还怎么重命名啊?
怎么办啊?
newcenturymoon - 2007-8-2 15:18:00
不要搜索 直接去找 因为他是隐藏的
petty - 2007-8-2 20:35:00
版主说的很好.能改名不如直接删除.关键是不让删除的就不让改名.包括在安全模式下.我的办法是用强制删除工具KILL了它.
愚蓝 - 2007-8-3 9:29:00
这个病毒我也遇到过,不过象楼主说改名的方法没有用过,看起来也简单.这个木马是插入到EXPLORE 进程中了,在修复时可以先用ICEsword先将EXPLORE进程结束掉再删除文件和注册表选项.
日不懂啊 - 2007-8-3 9:30:00
顶!这个我也碰到过,杀的没章法,弄了一个下午,晕啊

学习咯~~~

黑色を幽灵 - 2007-8-3 9:34:00
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows可以之前备分下,有病毒是重新导入并修改权限不知道可不可以。
llzply - 2007-8-3 14:13:00
顶!
大庆女人 - 2007-8-3 15:58:00
请问瑞星能报xxxpri.dll吗?报是什么病毒?

卡巴斯基呢(因为我们的局局部分机器用着卡巴)!

“局局”就是局域网
天空落下的泪 - 2007-8-3 16:37:00
要学习啊!!!!!!!!
shouhou - 2007-8-3 19:12:00
学习
1234
查看完整版本: 关于最近流行的dhbpri.dll(***pri.dll)等木马群的查杀(8.30更新)
© 2000 - 2026 Rising Corp. Ltd.