瑞星卡卡安全论坛
QQ王子 - 2007-8-3 20:49:00
本人用公司电脑入侵过新浪网,这种病毒在咱们黑鹰算垃圾的了
菜菜瓜瓜 - 2007-8-3 22:57:00
| 引用: |
【newcenturymoon的贴子】| 引用: | 【超级游戏迷的贴子】【回复“newcenturymoon”的帖子】既然这么危险,是否可用猫哥的办法,通过注册表编辑器的“权限”来设定[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]这个子项的访问和修改权限,以保证其值项<AppInit_DLLs>的数据不被病毒通过超级管理员或管理员帐户进行修改?
好奇问下。
……………… |
可已经修改了 那限制权限还有用么?
……………… |
游戏的意思应该 是说没中毒的时候 改吧
炫Oo逍遥oO - 2007-8-4 14:04:00
算是发个广告...
新手安个HIPS,SSM(free版)和EQ都行..
或者把IE安全级别调高,实在不行换个浏览器..
最近学黑,见识了"免杀"技术...
在HIPS面前,感觉基本没用..
新手只要不去乱开网页,和有一定的安全意识..
理论上说...
一般是不容易中毒的...
炫Oo逍遥oO - 2007-8-4 14:14:00
| 引用: |
【QQ王子的贴子】本人用公司电脑入侵过新浪网,这种病毒在咱们黑鹰算垃圾的了
……………… |
"您"是黑鹰的|?..
ID是?..
zhongzhi - 2007-8-4 15:53:00
用重命名法杀毒很巧妙,(除了这个病毒外)这个方法在什么情况下用到呢?
々旭旭々 - 2007-8-4 16:17:00
怎么又是这种木马呀~!~!
RE11 - 2007-8-4 18:50:00
顶啊!
inlake - 2007-8-5 4:26:00
本人是用“偷梁换柱”的方法解决了问题:
在发现用卡巴和360都怎么也不能清除干净,虽有防护作用,但上网期间不断跳出提醒,烦的很,也总不踏实。手工删除、安全模式杀毒等也都用了无效。后来想了个虽不是上策的“上策”,却挺灵:
本人是双系统(平时用的是xp),先切换到win2000下(没有双系统的可以先切到xp安全模式下试试),将xp的windows/system32下面的那个mydpri.dll删除(或其它一个xxxpri.dll),再用建立一个记事本格式的空文件,文件名改成“mydpri.dll”,并将其改成只读,不允许修改(发现2000下对文件的属性设置要比xp的丰富得多)。然后再切回到xp下正常运行系统,嘿嘿,那个可恶的木马再也跳不出来作怪了!大家不妨试试!!
黑鹰战神 - 2007-8-5 22:37:00
AVG搞吧!AVG Anti-Spyware v7.5.1.43版本和瑞星没有冲突的!
哈和啊 - 2007-8-5 22:40:00
创业新思路
在这http://income.cctve.cn/,你每月可以有1000--2000的额外外收入;
在这http://income.cctve.cn/,你可以拥有自己的网站和学习营销知识,展现个性;
在这http://income.cctve.cn/,你可以有机会与更多的人交流,锻炼能力;
在这http://income.cctve.cn/,你也许可以找到将来的出路......
更重要的是,在这http://income.cctve.cn/你可以给自己一个成功的机会
只需190元,你就可以拥有!
更多详情请登陆http://income.cctve.cn/或http://www.cctv.com/
中创网络赚钱绝对不是梦,有意请加QQ:811538295,真诚为你解答!
snowkill - 2007-8-6 3:16:00
是不是我还中了其它病毒的原因, 按照LZ的方法的确可以把*pri.dll清除, 可是再开机*pri.dll又有了...请帮帮忙吧. 附件是我扫描过的日志. 先谢谢了.
附件:
91755520078632044.txt
好山好水 - 2007-8-6 10:12:00
真是太及时了,十分感谢!
crystal叶紫 - 2007-8-6 11:02:00
谢谢楼主,我的电脑就遇到此问题,以至于到现在电脑都不能正常运行。
chenqj21 - 2007-8-6 13:44:00
我两个月前就遭了这玩意了,,郁闷,弄了很久
亂⒎8糟dé愛 - 2007-8-6 16:45:00
真是谢谢你了
助教 - 2007-8-6 18:23:00
不错 我的 电脑就是中了这个 好麻烦 难道瑞星 就不可以把直接OVER 吗? 看我中的 C:\WINDOWS\system32\keunqdlp9i.dll 瑞星报
keunqdlp9i.dll 是个病毒 需要重启后 干掉 可是 重启后 出现个提示框 无法加载这个病毒 访问被拒绝 我又看C盘 病毒居然还在 难道瑞星 连个 DLL 也没办法 一刀解决吗 ??
Gryan - 2007-8-6 18:29:00
还是学习中..........
现在想找个人教教我这些~~
还是 菜鸟啊~~~~
痛苦~~
alwaysdiving - 2007-8-6 21:57:00
alwaysdiving - 2007-8-6 23:27:00
补充一下,用ARSwp清理完后要在注册表里手动搜下pri.dll,把垃圾彻底清掉。
黄小杰 - 2007-8-7 8:55:00
我不会杀.该怎么办,我发了一个贴,希望会杀的朋友帮我杀一下``
愚蓝 - 2007-8-7 9:27:00
楼主说的我刚才遇到了,???pri.dll都在占用中,不知道楼主是通过什么方法进行改名的.我是用ICEswords强制删除???pri.dll文件重启,再用sreng修改注册表启动项才成功的.
天上天下2007 - 2007-8-7 10:26:00
请问
操作步骤:
1.重命名以下文件的文件名(包括但不限于,只要是xxxpri.dll就是此类病毒的同伙)
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
所有文件必须都要重命名
重命名成为什么文件名?谢谢
草莓味葡萄 - 2007-8-7 13:31:00
早知道昨天就到这里来看了.我就中了木马群..要死的病毒.害我重新装系统..问下各位网络高手..我QQ用聊天模式聊天时为什么会那么卡.?期待回复答案..QQ;327354686
≈☆星幻☆≈ - 2007-8-7 14:15:00
怎么修改键值为空啊~~~我是新手,请教高手帮忙!!
≈☆星幻☆≈ - 2007-8-7 14:36:00
我中的是Trojan.MnLess.kks这个病毒,我改不了qhbpri.dll,我一改,刷新后又成了qhbpri.dll,晕死,这种方法不行啊,!!谁救救我啊~~~
秋叶濛濛 - 2007-8-7 18:03:00
学习了
咕噜猪zzZ睡觉觉 - 2007-8-7 18:22:00
每回重大病毒本人电脑总是幸免遇难
但是每回都收藏起那些如何杀的文章
不错 顶
xiaoyueIQ - 2007-8-7 18:26:00
跟贴喽
宝宝龙610 - 2007-8-8 9:42:00
| 引用: |
【newcenturymoon的贴子】最近dhbpri.dll等的木马群十分盛行,在查杀中不少网友说删除不了启动项,因为病毒监控了他的启动项目,一旦删除立即恢复,对付此类病毒的解决方法是重命名文件法
此病毒一般的表现为
在system32下面生成 很多6个字母的dll 且名称为xxxpri.dll(xxx代表随机)
且所有的dll插入explorer等进程 动态守护 动态监控注册表
注册表启动方式一般如下
一部分通过 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows下的AppInit_DLLs加载 保证他能在安全模式下运行
其他一部分通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面创建自己的键 来加载 且只要有一个加载成功 病毒就不会被彻底干掉 所以对付这类病毒必须一网打尽
下面举一例说明如何查杀该类病毒
扫描的病机sreng日志如下 (sreng下载地址http://download.kztechs.com/files/sreng2.zip)
启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
<AppInit_DLLs><ztipri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll> []
<{91351752-5628-1547-FFAB-BADC13512AF9}><C:\WINDOWS\system32\ztipri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> [N/A]
<{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll> []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:\WINDOWS\system32\xyepri.dll> [N/A]
...
操作步骤:
1.重命名以下文件的文件名(包括但不限于,只要是xxxpri.dll就是此类病毒的同伙)
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
所有文件必须都要重命名
不能落掉一个 否则会功亏一篑
2.重启计算机
此时可能会报加载 某某dll错误 不要管他 出现这个错误其实是你成功的标志!
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
你刚刚重命名的那些文件
打开sreng
启动项目 注册表 删除如下项目
双击AppInit_DLLs 把其键值改为空
删除 <{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll> []
<{91351752-5628-1547-FFAB-BADC13512AF9}><C:\WINDOWS\system32\ztipri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> [N/A]
<{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll> []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:\WINDOWS\system32\xyepri.dll> [N/A]
即可
由于此病毒一般为木马下载器所下 所以如果发现了此病毒 肯定机器还有其他病毒或者木马 需要用杀毒软件配合手动 清除掉所有残余的病毒和木马!
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)
……………… |
我的就是中这个木马,瑞星差不出,是金山毒霸在线查毒查出的,能不能出个专杀工具啊??
反黑客の氵滒帝王 - 2007-8-8 11:16:00
这病毒....
© 2000 - 2026 Rising Corp. Ltd.
