回复:看看这个怎么解决(急)
转篇帖子,看看能不能对lz有用:
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows这里需要注意:AppInit_DLLs这个项目,正常情况下它的值应该是空的。这个项目表示每当一个程序启动的时候,AppInit_DLLs中的dll文件就会注入到该程序里面去启动。举个例子:如果AppInit_DLLs=qhbpri.dll,那么在登录windows后,系统加载了explorer.exe,那么qhbpri.dll也会出现在其中。dll文件虽然不能自己运行,但等他注入到应用程序中,其中代码还是会被执行,一些qq密码盗窃木马就是用上面的原理工作的。由于dll是寄生在exe中运行,在进程管理器中是看不到它的,所以360提示未知启动项AppInit_DLLs的时候需要注意到底什么文件添加到该项目下。
针对当前360安全卫士提示未知启动项AppInit_DLLs,自启动项AppInit_DLLs - avzxamn.dll,表示C:\WINDOWS\system32\下面的avzxamn.dll将在下次启动时之后加载到进程中。即自启动项AppInit_DLLs - avzxamn.dll的文件路径为C:\WINDOWS\system32\avzxamn.dll。
解决办法:
1.清理掉系统木马、病毒程序。(要借助360诊断报告分析,用360粉碎机,粉碎explorer进程中挂载的无版权信息的DLL文件,防止进行下面操作之后复发)。
2.安全模式(防止木马重新写入注册表)下任务栏>>开始>>运行>>键入regedit>>到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows>>在右边双击AppInit_DLLs,查看下数值数据里面到底加载什么文件,右键点击AppInit_DLLs选择修改,将数据清空之后确定(建议使用其他注册表编辑工具进行操作)。(删除dll开机加载到进程的注册表数据)
3.然后搜索数值数据里面木马想要加载的dll文件,使用360安全卫士粉碎机删除即可。(彻底删除木马文件)
4. 一些安全\正常的程序也可能提示未知AppInit_DLLs,例如:卡巴斯基。这就要看360安全卫士提示未知程序的路径,像卡巴斯基的允许就可以了。