·	没有路由密码权限时的鸽	08-23	·	上网安全 Vista自我防范	10-11
·	让濒临崩溃的Windows XP	10-11	·	有备无患，快速自制救急	10-11
·	要你好看!Windows看图工	10-11	·	空间赞助网提供不同类型	10-11
·	讨论net.exe和net1.exe的	10-10	·	让3389远程桌面传输更通	10-10
·	巧妙入侵渗透赌博站	10-10	·	Aspx空间扫权限工具	10-10
·	Windows2003最新提权工具	10-10	·	易淘乐提供100M免费全能	10-10
·	系统开机密码忘了不着急	10-09	·	中意网络提供免费100M免	10-09
·	与众不同 Windows XP开始	10-08	·	让桌面图标翻跟斗在XP上	10-08
·	上海宽元站长资助计划-提	10-08	·	个性化Windows XP的任务	10-07
·	趣盘提供3G免费网络硬盘	10-07	·	秀山热线提供200MB免费全	10-07
·	一次艰辛的提权过程	10-06	·	成功入侵IT大卖场的渗透	10-06
·	mysqlhack- MYSQL利用工	10-06	·	lanker一句话PHP后门客户	10-06
·	WIXI提供3G免费多媒体网	10-06	·	新人网络提供100M/ftp免	10-06
·	如何利用QQ带来高流量	10-05	·	UuShare提供免费网络文件	10-05

[推荐]dhbpri.dll(***pri.dll)等木马群的查杀

热荐 ★★★★★

dhbpri.dll(***pri.dll)等木马群的查杀

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2007-8-3 9:36:28

最近dhbpri.dll等的木马群十分盛行，在查杀中不少网友说删除不了启动项，因为病毒监控了他的启动项目，一旦删除立即恢复，对付此类病毒的解决方法是重命名文件法。

此病毒一般的表现为
在system32下面生成很多6个字母的dll 且名称为xxxpri.dll（xxx代表随机）
且所有的dll插入explorer等进程动态守护动态监控注册表

注册表启动方式一般如下
一部分通过 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows下的AppInit_DLLs加载保证他能在安全模式下运行
其他一部分通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面创建自己的键来加载且只要有一个加载成功病毒就不会被彻底干掉所以对付这类病毒必须一网打尽

下面举一例说明如何查杀该类病毒
扫描的病机sreng日志如下（sreng下载地址http://download.kztechs.com/files/sreng2.zip）
启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
<AppInit_DLLs><ztipri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll> []
<{91351752-5628-1547-FFAB-BADC13512AF9}><C:\WINDOWS\system32\ztipri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> [N/A]
<{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll> []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:\WINDOWS\system32\xyepri.dll> [N/A]
...
操作步骤：
1.重命名以下文件的文件名(包括但不限于,只要是xxxpri.dll就是此类病毒的同伙）
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
所有文件必须都要重命名
不能落掉一个否则会功亏一篑
2.重启计算机
此时可能会报加载某某dll错误不要管他出现这个错误其实是你成功的标志!

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
删除C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
你刚刚重命名的那些文件
打开sreng
启动项目注册表删除如下项目
双击AppInit_DLLs 把其键值改为空

删除 <{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll> []
<{91351752-5628-1547-FFAB-BADC13512AF9}><C:\WINDOWS\system32\ztipri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> [N/A]
<{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll> []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:\WINDOWS\system32\xyepri.dll> [N/A]
即可

由于此病毒一般为木马下载器所下所以如果发现了此病毒肯定机器还有其他病毒或者木马需要用杀毒软件配合手动清除掉所有残余的病毒和木马！

文章录入：cainiaowang 责任编辑：cainiaowang

上一篇文章：偷梁换柱—关于SVCHOST.COM及“假explorer.exe”

下一篇文章：双击打不开C盘、D、E、F盘解决方法[附图]

【字体：小大】

中介交易区

08年网络账号防盗最强手册	08-18
360卫士发布“装机必备软件”下载	02-13
认清本质计算机病毒防治常遇问题	01-24
防止木马有效率90%以上的最有效办	01-21
彻底杜绝U盘病毒多重防护力保平	01-18
彻底杜绝U盘病毒多重防护力保平	01-16
利用微点软件防御机器狗病毒(ED	01-15
如何摆脱黑客攻击方法	01-06
不再重装手动清除顽固病毒AutoR	01-06
主动出击让系统远离危害(图)	01-06
如何清除能突破主动防御的新型木	01-06
[攻防手记]手工清理病毒原来可以	01-06