瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于最近流行的dhbpri.dll(***pri.dll)等木马群的查杀(8.30更新)

«23456789»   6  /  11  页   跳转

关于最近流行的dhbpri.dll(***pri.dll)等木马群的查杀(8.30更新)

收藏
愚蓝
头像
飘泊而立狮
  • 帖子:574
  • 注册: 2004-03-15
  • 来自:
发表于: 2007-08-07 09:27 | 短消息 资料
字号: 51楼

楼主说的我刚才遇到了,???pri.dll都在占用中,不知道楼主是通过什么方法进行改名的.我是用ICEswords强制删除???pri.dll文件重启,再用sreng修改注册表启动项才成功的.
gototop
 
天上天下2007
头像
初生襁褓狮
  • 帖子:44
  • 注册: 2007-07-04
  • 来自:
发表于: 2007-08-07 10:26 | 短消息 资料
字号: 52楼

请问
操作步骤:
1.重命名以下文件的文件名(包括但不限于,只要是xxxpri.dll就是此类病毒的同伙)
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
所有文件必须都要重命名
重命名成为什么文件名?谢谢
gototop
 
草莓味葡萄
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2007-08-07
  • 来自:
发表于: 2007-08-07 13:31 | 短消息 资料
字号: 53楼

早知道昨天就到这里来看了.我就中了木马群..要死的病毒.害我重新装系统..问下各位网络高手..我QQ用聊天模式聊天时为什么会那么卡.?期待回复答案..QQ;327354686
gototop
 
≈☆星幻☆≈
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2007-07-06
  • 来自:
发表于: 2007-08-07 14:15 | 短消息 资料
字号: 54楼

怎么修改键值为空啊~~~我是新手,请教高手帮忙!!
gototop
 
≈☆星幻☆≈
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2007-07-06
  • 来自:
发表于: 2007-08-07 14:36 | 短消息 资料
字号: 55楼

我中的是Trojan.MnLess.kks这个病毒,我改不了qhbpri.dll,我一改,刷新后又成了qhbpri.dll,晕死,这种方法不行啊,!!谁救救我啊~~~
gototop
 
秋叶濛濛
头像
飘泊而立狮
  • 帖子:638
  • 注册: 2007-03-08
  • 来自:
发表于: 2007-08-07 18:03 | 短消息 资料
字号: 56楼

学习了
gototop
 
咕噜猪zzZ睡觉觉
头像
拙长孩提狮
  • 帖子:147
  • 注册: 2007-02-03
  • 来自:
发表于: 2007-08-07 18:22 | 短消息 资料
字号: 57楼

每回重大病毒本人电脑总是幸免遇难
但是每回都收藏起那些如何杀的文章
不错                          顶
gototop
 
xiaoyueIQ
头像
强壮不惑狮
  • 帖子:1076
  • 注册: 2006-11-11
  • 来自:蓝迪亚斯
发表于: 2007-08-07 18:26 | 短消息 资料
字号: 58楼

跟贴喽
gototop
 
宝宝龙610
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2007-02-25
  • 来自:
发表于: 2007-08-08 09:42 | 短消息 资料
字号: 59楼

引用:
【newcenturymoon的贴子】最近dhbpri.dll等的木马群十分盛行,在查杀中不少网友说删除不了启动项,因为病毒监控了他的启动项目,一旦删除立即恢复,对付此类病毒的解决方法是重命名文件法
此病毒一般的表现为
在system32下面生成 很多6个字母的dll 且名称为xxxpri.dll(xxx代表随机)
且所有的dll插入explorer等进程 动态守护 动态监控注册表
注册表启动方式一般如下
一部分通过 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows下的AppInit_DLLs加载 保证他能在安全模式下运行
其他一部分通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面创建自己的键 来加载 且只要有一个加载成功 病毒就不会被彻底干掉 所以对付这类病毒必须一网打尽

下面举一例说明如何查杀该类病毒
扫描的病机sreng日志如下 (sreng下载地址http://download.kztechs.com/files/sreng2.zip)
启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
      <AppInit_DLLs><ztipri.dll>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      <{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll>    []
      <{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll>    []
      <{91351752-5628-1547-FFAB-BADC13512AF9}><C:\WINDOWS\system32\ztipri.dll>    []
      <{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll>    [N/A]
      <{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll>    []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:\WINDOWS\system32\xyepri.dll> [N/A]
...
操作步骤:
1.重命名以下文件的文件名(包括但不限于,只要是xxxpri.dll就是此类病毒的同伙)
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
所有文件必须都要重命名
不能落掉一个 否则会功亏一篑
2.重启计算机
此时可能会报加载 某某dll错误 不要管他 出现这个错误其实是你成功的标志!

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
你刚刚重命名的那些文件
打开sreng
启动项目    注册表 删除如下项目
双击AppInit_DLLs 把其键值改为空

删除      <{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll>    []
      <{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll>    []
      <{91351752-5628-1547-FFAB-BADC13512AF9}><C:\WINDOWS\system32\ztipri.dll>    []
      <{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll>    [N/A]
      <{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll>    []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:\WINDOWS\system32\xyepri.dll> [N/A]
即可

由于此病毒一般为木马下载器所下 所以如果发现了此病毒 肯定机器还有其他病毒或者木马 需要用杀毒软件配合手动 清除掉所有残余的病毒和木马!



[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)

………………



我的就是中这个木马,瑞星差不出,是金山毒霸在线查毒查出的,能不能出个专杀工具啊??
gototop
 
反黑客の氵滒帝王
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-08-08
  • 来自:
发表于: 2007-08-08 11:16 | 短消息 资料
字号: 60楼

这病毒....
gototop
 
<<上一主题|下一主题>>
«23456789»   6  /  11  页   跳转
页面顶部
Powered by Discuz!NT