如何彻底杀掉***pri.dll病毒(高分悬赏)
作者&投稿:戴阀 (若有异议请与网页底部的电邮联系)
这个情况比较复杂,我以前也遇到过这种病毒,它会不断改变攻击的对象,而且就算杀掉了也会再复活,在McAfee里你可以看到它攻击的对象程序,我遭遇的就是不断改变攻击对象
对付这样刁钻的病毒,建议用安全模式下McAfee和360都杀一遍,再用超级兔子清理一下注册表,应该就可以杜绝它再复活
深入分析的时候出现病毒的时候 右边有个删除你没设置好不能自动删除你点哪个右边的删除就ok
解决办法:一、清除ghost.pif产生的病毒文件
重启计算机 进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击
“是” 然后确定
打开任务管理器-进程-结束explorer进程 此时桌面消失
点击 任务管理器菜单栏 文件-新建任务-浏览 在弹出的浏览窗口里找到
%ProgramFiles%\Common Files\goskdl.dll(随机6位字母文件名)
%ProgramFiles%\Internet Explorer\rksldk.bak(随机6位字母文件名)
%ProgramFiles%\Internet Explorer\rksldk.dll(随机6位字母文件名)
%ProgramFiles%\Internet Explorer\rksldk.ebk(随机6位字母文件名)
右键删除他们
二、清除ghost.pif下载的木马*door0.dll
还是在任务管理器里面 (依旧结束explorer进程)
点击 任务管理器菜单栏 文件-新建任务-输入cmd 确定
打开了命令行窗口
在命令行窗口中进入%system32%文件夹
然后 输入 del *door0.dll /f /q
点击 任务管理器菜单栏 文件-新建任务-输入explorer.exe 确定
三、清理注册表
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll> [Microsoft Corporation](随机6位字母文件名)
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll> []
<{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:\WINDOWS\system32\wmdoor0.dll> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\WINDOWS\system32\qjdoor0.dll> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\WINDOWS\system32\mydoor0.dll> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\WINDOWS\system32\qhdoor0.dll> []
<{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\WINDOWS\system32\zxdoor0.dll> []
<{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\WINDOWS\system32\tldoor0.dll> []
<{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\WINDOWS\system32\wddoor0.dll> []
<{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\WINDOWS\system32\rxdoor0.dll> []
<{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}><C:\WINDOWS\system32\fydoor0.dll> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll> []
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\WINDOWS\system32\ztdoor0.dll> []
<{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:\WINDOWS\system32\jtdoor0.dll> []
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll> []
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> [](等所有*door0.dll的项目)
系统修复-浏览器加载项-找到如下项目 点击删除项目,在弹出的对话框中点“是”
[]
{C1626E66-C26B-C628-E1DF-CDACCFA26EE1} <C:\Program Files\Common Files\goskdl.dll, Microsoft Corporation> (随机6位字母文件名)
四、删除瑞星 江民 卡巴 360文件夹下的MFC42.DLL
方法:
新建一个记事本文件
输入如下字符
DEL /F /A /Q \\?\%1
RD /S /Q \\?\%1
保存为1.bat文件
将要删除的MFC42.DLL文件或者文件夹,用鼠标左键拖放到1.bat的文件图标上(就像把文件拖到文件夹里的操作一样),一个CMD窗口闪烁之后伪"MFC42.DLL"文件夹就被删除了
近来出现的打开IE或者我的电脑杀毒软件监控就关闭和按照原来的方法无法解决杀毒软件应用程序正常初始化(0xc00000ba)失败的现象也是由于此病毒引起,所以可按此法一并解决
清除后最好再安个系统影子 , 因为你小子运气太好了,中就中厉害的病毒!!!
对于***pri.dll system16.ins病毒根除
的病毒已经不能列为IT专题
而应作为社会现象看待
***pri.dll病毒网上解决方案并不多
其症状是开机从c-c1.cn下载盗号木马
上个sr的log分析一下
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{24123FF1-8371-9834-9021-184518451FA2}><C:\WINDOWS\system32\qjbpri.dll> []
<{014A26F5-FBAD-4549-9CA1-C38210704BD1}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System16.ins> []
<{12311A42-AC1B-158F-FD32-5674345F23A1}><C:\WINDOWS\system32\dhapri.dll> []
<{325AB2F3-234A-7469-2F43-E341713ABFA3}><C:\WINDOWS\system32\wgcpri.dll> []
<{C5E87A05-F463-4841-B19E-DD3EC3862368}><C:\Program Files\Internet Explorer\IEXPLORE32.Sys> []
<{EE12D60D-AD9A-4095-B839-3BE6862679FD}><C:\Program Files\Internet Explorer\IEXPLORE32.Dat> []
<{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}><C:\Program Files\Internet Explorer\IEXPLORE32.win> []
<{40117B96-998D-4D80-8F89-5E9DBD9F3460}><C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys> []
<{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:\WINDOWS\system32\jhapri.dll> []
注意那堆pri.dll结尾的文件以及ie目录下的文件
不过关键么是system16.ins/jup
<AppInit_DLLs><qjbpri.dll>
这个选项默认应该为空的
<RAV00AE><C:\WINDOWS\system32\RAV00AE.exe> <AVPSrv><C:\WINDOWS\AVPSrv.exe>
这个,不是毒随便怎么样
注意explorer的钩子
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{24123FF1-8371-9834-9021-184518451FA2}><C:\WINDOWS\system32\qjbpri.dll> []
<{014A26F5-FBAD-4549-9CA1-C38210704BD1}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System16.ins> []
<{12311A42-AC1B-158F-FD32-5674345F23A1}><C:\WINDOWS\system32\dhapri.dll> []
<{325AB2F3-234A-7469-2F43-E341713ABFA3}><C:\WINDOWS\system32\wgcpri.dll> []
<{C5E87A05-F463-4841-B19E-DD3EC3862368}><C:\Program Files\Internet Explorer\IEXPLORE32.Sys> []
<{EE12D60D-AD9A-4095-B839-3BE6862679FD}><C:\Program Files\Internet Explorer\IEXPLORE32.Dat> []
<{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}><C:\Program Files\Internet Explorer\IEXPLORE32.win> []
<{40117B96-998D-4D80-8F89-5E9DBD9F3460}><C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys> []
<{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:\WINDOWS\system32\jhapri.dll>
要杀哪些清楚了吧
另外,正在运行中的进程都给挂上了pri.dll
所以不要指望能直接删掉
[PID: 688 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\qjbpri.dll] [N/A, ]
[PID: 700 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\qjbpri.dll] [N/A, ]
[C:\WINDOWS\system32\imon.dll] [Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_imon.dll] [N/A, ]
[PID: 856 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\qjbpri.dll] [N/A, ]
[PID: 920 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\qjbpri.dll] [N/A, ]
[C:\WINDOWS\system32\imon.dll] [Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_imon.dll] [N/A, ]
[PID: 1024 / SYSTEM][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\System32\qjbpri.dll] [N/A, ]
[C:\WINDOWS\system32\imon.dll] [Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_imon.dll] [N/A, ]
包括nod32也没有幸免
[PID: 1616 / SYSTEM][C:\Program Files\Eset\nod32krn.exe] [Eset , 2, 70, 32 ]
[C:\WINDOWS\system32\qjbpri.dll] [N/A, ]
[C:\Program Files\Eset\nod32krr.dll] [Eset , 2, 70, 32 ]
[C:\Program Files\Eset\ps_amon.dll] [Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_amon.dll] [Eset , 2, 70, 32 ]
[C:\Program Files\Eset\ps_dmon.dll] [Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_dmon.dll] [N/A, ]
[C:\Program Files\Eset\ps_emon.dll] [Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_emon.dll] [N/A, ]
[C:\WINDOWS\system32\imon.dll] [Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_imon.dll] [N/A, ]
[C:\Program Files\Eset\ps_nod32.dll] [Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_nod32.dll] [Eset , 2, 70, 32 ]
[C:\Program Files\Eset\ps_upd.dll] [Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_upd.dll] [N/A, ]
解决方法
用XDelBox1.3做掉文件,然后进系统删掉注册表里相关的值
xdelbox的使用方法自己baidu或者google
***pri.dll全做掉,ie目录下的那几个iexplorer32.xxx全做掉
ie的plugin目录下的SysWin64.Sys以及.jmp文件做掉
C:\Program Files\Common Files\Microsoft Shared\MSINFO\System16.ins做掉,同样目录下的system16.jup也做掉
<AppInit_DLLs><qjbpri.dll>
改成<AppInit_DLLs><>
值去掉
appinit_dlls不一定指向qjbpri.dll的
不过肯定是pri.dll结尾的
360发布qhbpri *pri.dll木马专杀工具!
【qhbpri木马简介】
1.变名,变形,大量自我复制(*pri.dll,前面为变名字母),躲避杀毒软件查杀,普通方式无法彻底清除
2.非法修改Windows注册表AppInit_DLLs达到优先启动的效果。
3.隐蔽插入到其他程序进程,普通方式难以查杀。
4.下载其他木马,与木马指定的服务器通讯,泄露用户隐私,盗窃网络财产帐号。
5. 360安全卫士主程序检测到【qhbpri木马】和【未知启动项AppInit_DLLs正在被装入】
论坛用户登陆后
点击下载qhbpri木马(*pri.dll木马)专杀:
qhbpri木马专杀.rar (206.85 KB)
HTTP下载:http://dl.360safe.com/killer_qhbpri.exe
我都怀疑了,楼上的真的都是高手么,楼主我告诉你个很简单的方法,你去下栽一个病毒木马删除软件,很好下的,上百度一搜就搜到了,用法很简单,肯定不用我交你,你找到你电脑上的那个DLL文件,彻底删除后,重起下机器就OK了,
重装机
求最好的杀毒软件!速度快!杀毒全!功能好占资源少
2006年全球杀软前十位排名 排名第一的BitDefender 简介:BitDefender杀毒软件是来自罗马尼亚的老牌杀毒软件,二十四万超大病毒库,它将为你的计算机提供最大的保护,具有功能强大的反病毒引擎以及互联网过滤技术,为你提供即时信息保护功能,通过回答几个简单的问题,你就可以方便的进行安装,并且支持在线升级。它...
不知道中了什么病毒?求高人指点!!
1、系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。2、蠕虫病毒 蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外...
请电脑高手解答,电脑关机开启后,总是没有输入法,按照下列方法调后,_百 ...
微软拼音输入法: p***l.imd p***p.upt(其中***为用户名)智能ABC输入法:tmmr.rem user.rem另外,我们要告诉大家,许多输入法的词组包含在*.mb文件中,如联想的幸福五笔输入法的词组在lxwb.mb中,你只要将它拷贝到你的System文件夹下,并重新改名为wbx.mb(得先将原文件删除掉)就实现了五笔型的升级,怎么样,爽...
牧慧人工: 没错你中毒了 \ 解决办法::: 首先确认一下你的电脑中有没有装安装了瑞星卡卡6.
瓮安县13295802142: 怎样手动清除一些DLL病毒? - ?
牧慧人工: DLL病毒的常用清除方法 1、单独编写的DLL文件病毒:这类病毒是最容易被清除的DLL病毒,其原理也非常简单.病毒作者编写一个DLL文件,然后通过注册表的Run键值或者其他可以被系统加载的地方启动. 2、替换系统文件的DLL病毒:病...
瓮安县13295802142: 电脑中毒高手忙帮?
牧慧人工: logogo.exe病毒症状 从感染情况来看,应该还是属于威金病毒的变种,会在系统文件夹C:\windows\system 下自动生成logogo.exe文件,还有可能会在C:\windows\system32 下生成1.exe、2.exe 以及mxdman.dll、inudhya.dll 等.此外,还会在硬盘...
瓮安县13295802142: qhbpri病毒如何杀!~不要什么软件的最好,最好用手动可以清除!!?
牧慧人工: 手动删除:按照杀软给出病毒对应的文件名和路径;开始--运行--regedit,打开注册表,用光标选取注册表中的“我的电脑”,菜单--编辑--查找,从头到尾查找这文件的项目,右键--删除,F3继续,直至查完删完,最后再删除硬盘文件;不让删的用IceSword对照位置删除 冰刃Icesword http://dnaq.blogbus.com/logs/7830099.html
瓮安县13295802142: 怎样清除pdkpri.dll 病毒?
牧慧人工: 病毒描述: 该病毒执行启动项:{42A612A4-4334-4424-4234-42261A31A236} 说明:可疑项目 类型:注册表 位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 打开注册表编辑器,并...
瓮安县13295802142: 怎样删除病毒文件dhdpri.dll - ?
牧慧人工: 可以用360粉碎机粉碎文件,也可以用360杀毒软件杀掉!随你!免费的.
瓮安县13295802142: ***.dll的病毒文件手动清除方法,初学菜鸟懂得给说下!?
牧慧人工: ①进入安全模式,手动删除***.dll文件即可. ②使用文件强删工具,比如PowerTool,强制删除***.dll
瓮安县13295802142: dll劫持病毒 - ?
牧慧人工: 之所以病毒释放usp10.dll,是用了DLL劫持技术,该病毒全盘查找有exe文件的文件夹,释放usp10.dll 当exe运行时,系统会根据他的导入表为他加载他需要的DLL,而查找这个DLL是有优先级的,即先从当前目录中查找,如果当前目录不存在,...
瓮安县13295802142: 如何彻底杀掉system32下的*.dll文件的病毒 - ?
牧慧人工: comres.dll是Windows操作系统的COM Services服务所用到的一个系统文件 comres.dll的文件路径: c:\windows\system32\comres.dll (假设你的windows安装目录为c:\windows);同时在dllcache目录有一个备份:c:\windows\system32\dllcache\...
瓮安县13295802142: myfpri.dll怎么删除??
牧慧人工: 楼主试试用unlocker软件加锁删除已帮楼主上传了一个,试试加锁删除
