名称：AppInit_DLLs 行为描述：篡改系统启动项!!!!

篡改系统启动项~

appinit_dlls劫持：系统启动后自动加载该项，用金山清理专家进行修复，每次显示清理成功，系统重启后该问题依然存在。今天上午解决了一个类似问题。
我的解决方法是：
进入安全模式，打开注册表，查找HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows下的AppInit_Dlls项，其键值缺省值为空，但现在已被改为*.dll（你是sockspy.dll），删除该键值。
然后打开文件夹c:\windows\system32\，找到文件*.dll（你是sockspy.dll）彻底删除即可（保险一点用专业文件粉碎机清除，金山清理专家即带）。
重启，运行金山清理专家，系统一切正常！

是不是360会提示?我前几天也是这样.我就点了放过,结果一点事情都没有.我是这样做的不要想太多,电脑那玩艺就是用来玩的...
等到有事再说吧.做事情不要东怕西怕的吧,英勇一点嘿嘿^^

我说离题了...

你装了瑞星卡卡了吧，是的话没什么问题。
若没有装的话那就：

帮你找了几篇，希望能帮到你。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs是注册表内的一个键值 不是文件 不能粉碎
只要将其内容清空即可

注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表
早期的进程插入式木马的伎俩，通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。
任何操作系统都会在启动时自动运行一些程序，用以初始化系统环境或额外功能等，这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行，这些区域就是“启动项”，不同的系统提供的“启动项”数量也不同，对于Win9x来说，它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys，Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项，分别是:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

到了2000/XP系统时代，DOS环境被取消，却新增了一种称之为“服务”的启动区域，注册表也在保持原项目不变的基础上增加了2个“启动项”:

项目 键名

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run

这么多的启动入口，木马自然不会放过，于是我们经常在一些计算机的启动项里发现陌生的程序名，这时候就只能交由你或者病毒防火墙来判断了，毕竟系统自身会在这里放置一些必要的初始化程序，还有一些正常工具，包括病毒防火墙和网络防火墙，它们也必须通过启动项来实现跟随系统启动。

此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法，那就是“系统路径遍历优先级欺骗”，Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则，它会由系统所在盘符的根目录开始向系统目录深处递进查找，而不是精确定位的，这就意味着，如果有两个同样名称的文件分别放在C:\和C:\Windows下，Windows会执行C:\下的程序，而不是C:\Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会，木马可以把自己改为系统启动时必定会调用的某个文件名，并复制到比原文件要浅一级以上的目录里，Windows就会想当然的执行了木马程序，系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”，因为无论哪个Windows版本的启动项里，它都是没有设置路径的。

要提防这种占用启动项而做到自动运行的木马，用户必须了解自己机器里所有正常的启动项信息，才能知道木马有没有混进来。至于利用系统路径漏洞的木马，则只能靠用户自己的细心了。

根除木马——文件并联型木马的查杀

某些用户经常会很郁闷，自己明明已经删除了木马文件和相应的启动项，可是不知道什么时候它自己又原封不动的回来了，这还不算，更悲惨的是有时候杀掉某个木马后，系统也出了故障:所有应用程序都打不开了。这时候，如果用户对计算机技术的了解仅限于使用杀毒软件，那可只能哭哭啼啼的重装系统了!

为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单，因为这种木马修改了应用程序(EXE文件)的并联方式。
什么是“并联方式”呢?在Windows系统里，文件的打开操作是通过注册表内相应键值指定的应用程序来执行的，这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内，当系统收到一个文件名请求时，会以它的后缀名为依据在这里识别文件类型，进而调用相应的程序打开。而应用程序自身也被视为一个文件，它也属于一种文件类型，同样可以用其他方式开启，只不过Windows设置它的调用程序为“"%1" %*”，让系统内核理解为“可执行请求”，它就会为使用这种打开方式的文件创建进程，最终文件就被加载执行了，如果有另外的程序更改了这个键值，Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”，运行程序时系统就会先为“木马程序”创建进程，把紧跟着的文件名作为参数传递给它执行，于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序，使得它可以长期驻留内存，每次都能恢复自身文件，所以在一般用户看来，这个木马就做到了“永生不死”。然而一旦木马程序被删除，Windows就会找不到相应的调用程序，于是正常程序就无法执行了，这就是所谓的“所有程序都无法运行”的情况来源，并不是木马更改了系统核心，更没必要因此重装整个系统。

根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序，立即停止这个程序的进程，如果它还产生了其他木马文件的话，也一起停止，然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件，把exefile的“打开方式”项(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。

如果删除木马前忘记把并联方式改回来，就会发现程序打不开了，这时候不要着急，如果你是Win9x用户，请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式，把Explorer.exe随便改个名字，再把REGEDIT.EXE改名为Explorer.exe，再次重启后会发现进入Windows只剩下一个注册表编辑器了，赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。

对于Win2000/XP用户而言，这个操作更简单了，只要在开机时按F8进入启动菜单，选“命令提示符的安全模式”，系统就会自动调用命令提示符界面作为外壳，直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启，直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。

追回被盗的系统文件

除了添加自己到启动项、路径欺骗和更改文件并联以外，一般的木马还有一种伎俩可以使用，那就是替换系统文件。由于如今的操作系统都是由许多文件共同构造的，并不是所有用户都能明白系统文件夹里每个文件的作用，这就给了木马可乘之机，它们盯上了系统里那些不会危害到系统正常运行而又经常会被调用的程序文件，像输入法指示程序internat.exe、让动态链接库可以像程序一样运行的rundll32.exe等。木马先把系统原来的文件改名成只有它们自己知道的一个偏僻文件名，再把自己改名成那个被替换的文件，这样就完成了隐藏极深的感染工作，从此只要系统需要调用那个被替换的程序进行工作，木马就能继续驻留内存了。那么文件被替换会不会导致系统异常呢?只要木马没有被删除，就不会造成系统异常，因为木马在作为原来的程序而被系统启动时，会获得一个由系统传递来的运行参数，这就是系统要求该程序工作的关键所在，木马会直接把这个参数传递给被改名的程序执行，像接力比赛那样完成数据操作，这样在系统看来就是命令被正常执行了，自然不会出现异常。但是也因为这样的特性导致木马被查杀后，系统的某些命令无法传递到本该执行操作的程序中，反而让系统出错了。

要修复它其实很简单，只要记住这个木马的文件名，在删除它之后再从系统光盘复制一个“原配”文件就可以了，如果没有系统光盘，就必须通过工具追踪木马传递参数的目标程序名，再把它改回来。

qhbpri木马（AppInit_DLLs）专杀工具
【qhbpri木马简介】

1.变名，变形，大量自我复制（*pri.dll，前面为变名字母），躲避杀毒软件查杀，普通方式无法彻底清除
2.非法修改Windows注册表AppInit_DLLs达到优先启动的效果。
3.隐蔽插入到其他程序进程，普通方式难以查杀。
4.下载其他木马，与木马指定的服务器通讯，泄露用户隐私，盗窃网络财产帐号。
5. 360安全卫士主程序检测到【qhbpri木马】和【未知启动项AppInit_DLLs正在被装入】C:\WINDOWS\system32\kvdxbma.dll

qhbpri木马专杀（9月4日更新版本）：

HTTP下载：http://dl.360safe.com/killer_qhbpri.exe

手动的方法

1、启动注册表：
开始——运行——键入：REGEDIT——打开注册表
按照360提示的位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 找到“AppInit_DLLs”
把“AppInit_DLLs”改成“0”（注意：删除没有用，会自动重建。）

2、分别运行“Windows清理助手”和“恶意软件清理助手”清理系统

appinit_dlls是什么？

appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ，appinit_dlls是不是病毒呢？

注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表
早期的进程插入式木马的伎俩，通过修改注册表中的

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达

到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。如求职信病毒。利

用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的

稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。

appinit_dlls分析：

最近很多人发现有appinit_dlls这个文件，查查看你的电脑是否安装了木马克星，再查看appinit_dlls

的数值是什么，如果是 APIHookDll.dll ，那你的电脑没有中毒，这个只是木马克星的文件，不用担心

。

如果不是，说明你中毒了，可以参考以下办法清除appinit_dlls病毒。

appinit_dlls病毒清除办法：

appinit_dlls病毒DLL型后缀病毒的手工杀毒的方法教程：

这类病毒大多是后门病毒，这类病毒一般不会把自己暴露在进程中的，所以说特别隐蔽，比较不好发现

。启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那DLL

后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多，可

以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe和 Svchost.exe，

即使停止了Rundll32.exe和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了

解了，但是不是后缀是DLL就是病毒哦，也不要因为系统有过多的Rundll32.exe和Svchost.exe进程而担

心，因为他们不一定就是病毒，所以说这个病毒比较隐蔽，下边来介绍几种判别办法：
1/Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\

CurrentVersion\Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统

正在运行在 Svchost.exe列表中的服务的方法。以Windows XP为例：在“运行”中输入：cmd，然后在命

令行模式中输入：tasklist /svc。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令

替换为：“tlist -s”即可。如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通

过搜索 Svchost.exe文件就可以发现异常情况。一般只会找到一个在：“C:\Windows\System32”目录下

的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。
2/还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在

Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。比如Windows优

化大师中的Windows 进程管理 2.5。这样，可以发现进程到底饔昧耸裁碊LL文件.
3/普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口

。我们可以用netstat –an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的

端口心中有数，并对netstat –an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的

进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。

4/最关键的方法对比法。安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打

开CMD，来到 WINNTsystem32目录下，执行：dir *.exe>exe.txt & dir *.dll>dll.txt，这样，就会把

所有的EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同的命令再次备

份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txt>exedll.txt &

fc dll.txt dll0.txt>exedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果

保存到exedll.txt文件中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，

创建时间来判断是否是DLL后门。
DLL型病毒的清除方法
1/ 在确定DLL病毒的文件的话请尝试下边方法
移除方法：
1. 开始——运行——输入"Regedit"
2. 搜索"*.dll"
3. 删除搜索到的键值。
4. 重启
5. 转到C:\Windows\System32\
6. 删除*.dll
2/到注册表下列地方寻找DLL的踪迹
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost
3/如果上边的地方都找不到的话建议使用优化大势进程显示工具 对 RUNDLL32.EXE和SVCHOST.EXE里边运

行的DLL程序进行核实找到病毒文件对其进行结束 然后在对他进行删除 建议使用第1种方法是非常有效

的

appinit_dlls病毒清除另外一种方法:

一、须准备的刑具
Windows清理助手
恶意软件清理助手
360安全卫士

二、注册表启动命令：REGEDIT

三、磨刀霍霍卷袖动手——杀！！！！
1、启动注册表：
开始——运行——键入：REGEDIT——打开注册表
按照360提示的位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

找到“AppInit_DLLs”
把“AppInit_DLLs”改成“0”（注意：删除没有用，会自动重建。）

2、分别运行“Windows清理助手”和“恶意软件清理助手”清理系统

“恶意软件清理助手”清理：“恶意软件清理”、“注册表项清理”、“临时文件清理”
其中“注册表项清理”我没有耐心清理完
因为有几项好像清理不掉

“Windows清理助手”使用了“定制扫描”项

四、清理完毕，重启电脑
一切OK！

插件装多了，推荐一个系统防护和优化清理组合给你，

1、360安全卫士 ，360安装好以后，会弹出一个禁止移动硬盘和优盘自动运行的选择提示，你确定就可以了。
2、360保险箱，把IE也保护上
3、杀毒软件，推荐用NOD32的，CPU占用率低，杀毒能力强还全免费，卡巴斯基也不错，就是CPU占用率高了点。 如果你安装了NOD，需要对NOD进行设置，在实时文件保护操作上选定自动清除。这样你访问到哪里，NOD32发现有病毒文件会自动清除。网页访问操作发现病毒和木马也可以设定为拒绝访问模式。
再推荐一个免安装的AVG杀毒软件给你，你可以用这个和其他的杀毒软件交叉使用。效果很好。
4、防火墙，麦咖啡专业版的或者风云免费版的，我使用的是风云防火墙免费版。 装防火墙的好处在于一旦系统要执行程序，防火墙会提示你有文件注入注册表或者要连接互联网，你可以手动选择是否执行操作，不熟悉的操作，你拒绝执行后，病毒和木马就无法感染系统。
5、再装个超级兔子随时清理系统，升级天使也很好用。
6、qqkav用起来也不错。系统运行慢了偶尔用来清理一下，也可以。
7、上网下载一个瑞星注册表修复工具。用于恢复被病毒修改的可执行文件无法执行。

我使用了这个组合防护后，几台笔记本使用发贴工具每天访问上十万网页，也就每天清理一下临时文件。被NOD32忽略掉的木马和广告程序只能保存在临时文件夹或者cookie里，，运行超级兔子清理王清理了就ok。

注册表 appinit_Dlls 默认数值为 0 、修改 appinit_Dlls 数值 可让自己自行启动运行、

点开始----运行-----输入 regedit 确定、打开注册表到、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Windows\AppInit_DLLs 把 AppInit_DLLs 值修改为 0 确定 就可以了、

这可不是病毒,是卡卡监测文件,安装了瑞星卡卡6.0后,就会有的.有些杀毒软件却误报为病毒,实在是跟不上形势的发展.现在你还想修复吗?

同样遇到这个问题
先下载了WINDOWS清理助手扫描
再用360阻止此行为（在下面打钩一直是阻止）
就行了我就是这样

---

沈北新区19498026823： AppInit - DLLs 是什么?？
贠炕金口： 最近,由于瑞星卡卡助手的不断升级,用360IE修复或用System Repair Engineer扫描时会出现自启动项AppInit_DLLs被修改为 kmon.dll的提示问题 提示为:警告!电脑中发现可疑病毒体 C:\WINDOWS\system32\kmon.dll 文件存在. 实际上,这...

沈北新区19498026823： AppInit - DLLs这是什么.每次开机都出现每次开机360都 ？
贠炕金口： 你的系统是不是安装瑞星卡卡?如果是,360安全卫士当然会这样了 名称:AppInit_DLLs 路径:kmon*dll 出品公司: 行为描述:篡改系统启动项 位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 360安全卫士与瑞星卡卡是竞争对手,有人所公知的利益冲突,却假装不知道这是瑞星公司的产品,其实这个是瑞星卡卡的东西 . 你在“C:\WINDOWS\system32”找到“kmon.dll” 查看他的属性 ,可以清清楚楚看到写的是瑞星的产品; 对于360安全卫士的提示,你可以采取阻止,也可以允许,主动权由你.

沈北新区19498026823： 这个AppInit - DLLs是什么？
贠炕金口： AppInit_DLLs 启动项是初始化动态链接库,删除了还会出现. 字串8 注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,也就是AppInit_DLLs一般不会有问题,有问题的是其他文件,具体情况需要具体分析了,努力做好杀毒软件的更新工作,以在可能的情况下,让杀毒软件来处理.

沈北新区19498026823： 请问AppInit - DLLs是什么启动项 ？
贠炕金口： 木马 注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表 早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的.缺点是不实时,修改注册表后需要重新启动才能完成进程插入.如求职信病毒.利用注册表启动,就是让系统执行DllMain来达到启动木马的目的.因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马.

沈北新区19498026823： AppInit - DLLs是什么??急!!今天我的电脑中360安全 ？
贠炕金口： 不是. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows 该值中指定所有 DLL 加载由每个 Microsoft 当前日志中运行会话上基于 ...

沈北新区19498026823： AppInit - DLLs 是什么啊 病毒吗？
贠炕金口： 你是安装了瑞星卡卡了, KMON*DLL是瑞星卡卡的文件,会修改 AppInit_DLLs 注册表值,360提示点“允许”修改就可以了,不是病毒. appinit_Dlls 默认数值为 0 、修改 appinit_Dlls 数值 是启动系统自动运行,这也就是木马/病毒的惯用行为,所以金山会报告它是非法的. 也可以卸载瑞星卡卡

沈北新区19498026823： ·APPIni - dlls是什么?怎么修复? 1？
贠炕金口： AppInit_DLLs 是启动项是初始化动态链接库 但是有病毒通过修改AppInit_DLLs来执行 通过修改[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]键值来插入病毒. (一般DLL文件后缀名是不带S...

沈北新区19498026823： AppInit - DLLs是什么文件? - ？
贠炕金口： AppInit_DLLs 是windows的一个注册表键项,用来加载dll模块,使得一些模块谁开机一起启动,正常情况下这个键项一般是空的,通常被病毒利用来加载木马病毒的dll模块.删除这个键项的键值后(清除dll文件),修改左边的HKEY_LOCAL_MACHING_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 键项的权限,取消所有帐户的“完全控制”权限,就不会被病毒利用了.修改注册表键项权限的方法,我的百度空间有详解.

沈北新区19498026823： AppInit - DLLs这是什么啊?怎么老是弹这个东西出来?？
贠炕金口： 中了木马了.注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表 下载 冰刃(绿色软件,下载解压缩后即可使用) 点击:进程 逐个右击右侧的进程--模块信息,仔细查看这个dll到底对哪些进程进行了插入(特别是那些系统进...

沈北新区19498026823： 电脑开机360提示 一个危险的开机启动程序名称:AppInit - DLLs - ？
贠炕金口： 可能是木马或者恶意软件什么的搜索不到正常文件时什么,不如在搜索全盘,找到这个omjqiy.dll文件,利用360的粉碎文件(防止再次生成),彻底删掉它.(安装一个使用版的微点吧,你用的时什么杀毒软件,好像NOD32,不过NOD的设置要参考下网上的设置方法,而且病毒库过期了吧):-D