如何彻底杀掉***pri.dll病毒(高分悬赏)

显示全部楼层 · 2007-8-14 15:33:58

清除后最好再安个系统影子，因为你小子运气太好了，中就中厉害的病毒！！！

千问 · 2007-8-14 15:33:58

对于***pri.dll system16.ins病毒根除的病毒已经不能列为IT专题而应作为社会现象看待***pri.dll病毒网上解决方案并不多其症状是开机从c-c1.cn下载盗号木马上个sr的log分析一下[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[]
[]
[]
[]
[]
[]
[]
[]
[] 注意那堆pri.dll结尾的文件以及ie目录下的文件不过关键么是system16.ins/jup这个选项默认应该为空的
这个，不是毒随便怎么样注意explorer的钩子[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[]
[]
[]
[]
[]
[]
[]
[]
要杀哪些清楚了吧另外，正在运行中的进程都给挂上了pri.dll所以不要指望能直接删掉[PID: 688 / SYSTEM][C:\WINDOWS\system32\services.exe][Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\qjbpri.dll][N/A, ][PID: 700 / SYSTEM][C:\WINDOWS\system32\lsass.exe][Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\qjbpri.dll][N/A, ]
[C:\WINDOWS\system32\imon.dll][Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_imon.dll][N/A, ][PID: 856 / SYSTEM][C:\WINDOWS\system32\svchost.exe][Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\qjbpri.dll][N/A, ][PID: 920 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe][Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\qjbpri.dll][N/A, ]
[C:\WINDOWS\system32\imon.dll][Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_imon.dll][N/A, ][PID: 1024 / SYSTEM][C:\WINDOWS\System32\svchost.exe][Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\System32\qjbpri.dll][N/A, ]
[C:\WINDOWS\system32\imon.dll][Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_imon.dll][N/A, ]包括nod32也没有幸免[PID: 1616 / SYSTEM][C:\Program Files\Eset\nod32krn.exe][Eset , 2, 70, 32 ]
[C:\WINDOWS\system32\qjbpri.dll][N/A, ]
[C:\Program Files\Eset\nod32krr.dll][Eset , 2, 70, 32 ]
[C:\Program Files\Eset\ps_amon.dll][Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_amon.dll][Eset , 2, 70, 32 ]
[C:\Program Files\Eset\ps_dmon.dll][Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_dmon.dll][N/A, ]
[C:\Program Files\Eset\ps_emon.dll][Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_emon.dll][N/A, ]
[C:\WINDOWS\system32\imon.dll][Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_imon.dll][N/A, ]
[C:\Program Files\Eset\ps_nod32.dll][Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_nod32.dll][Eset , 2, 70, 32 ]
[C:\Program Files\Eset\ps_upd.dll][Eset , 2, 70, 32 ]
[C:\Program Files\Eset\pr_upd.dll][N/A, ]解决方法用XDelBox1.3做掉文件，然后进系统删掉注册表里相关的值xdelbox的使用方法自己baidu或者google***pri.dll全做掉，ie目录下的那几个iexplorer32.xxx全做掉ie的plugin目录下的SysWin64.Sys以及.jmp文件做掉C:\Program Files\Common Files\Microsoft Shared\MSINFO\System16.ins做掉，同样目录下的system16.jup也做掉改成值去掉appinit_dlls不一定指向qjbpri.dll的不过肯定是pri.dll结尾的

千问 · 2007-8-14 15:33:58

360发布qhbpri *pri.dll木马专杀工具！【qhbpri木马简介】1.变名，变形，大量自我复制（*pri.dll，前面为变名字母），躲避杀毒软件查杀，普通方式无法彻底清除2.非法修改Windows注册表AppInit_DLLs达到优先启动的效果。3.隐蔽插入到其他程序进程，普通方式难以查杀。4.下载其他木马，与木马指定的服务器通讯，泄露用户隐私，盗窃网络财产帐号。 5. 360安全卫士主程序检测到【qhbpri木马】和【未知启动项AppInit_DLLs正在被装入】论坛用户登陆后点击下载qhbpri木马（*pri.dll木马）专杀： qhbpri木马专杀.rar (206.85 KB)HTTP下载：http://dl.360safe.com/killer_qhbpri.exe参考资料：http://dl.360safe.com/killer_qhbpri.exe

已赞过已踩过
[][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[]
[]
[]
[N/A]
[] [N/A]...操作步骤：1.重命名以下文件的文件名(包括但不限于,只要是xxxpri.dll就是此类病毒的同伙）C:\WINDOWS\system32\wdbpri.dllC:\WINDOWS\system32\qhbpri.dllC:\WINDOWS\system32\ztipri.dllC:\WINDOWS\system32\dhbpri.dllC:\WINDOWS\system32\zxepri.dllC:\WINDOWS\system32\xyepri.dll所有文件必须都要重命名不能落掉一个否则会功亏一篑2.重启计算机此时可能会报加载某某dll错误不要管他出现这个错误其实是你成功的标志!双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定删除C:\WINDOWS\system32\wdbpri.dllC:\WINDOWS\system32\qhbpri.dllC:\WINDOWS\system32\ztipri.dllC:\WINDOWS\system32\dhbpri.dllC:\WINDOWS\system32\zxepri.dllC:\WINDOWS\system32\xyepri.dll你刚刚重命名的那些文件打开sreng启动项目
注册表删除如下项目双击AppInit_DLLs 把其键值改为空删除
[]
[]
[]
[N/A]
[] [N/A]即可由于此病毒一般为木马下载器所下所以如果发现了此病毒肯定机器还有其他病毒或者木马需要用杀毒软件配合手动清除掉所有残余的病毒和木马！

千问 · 2007-8-14 15:33:58

大家说的很全了，顶一下吧

千问 · 2007-8-14 15:33:58

你可以试用一下这个简单的办法：找到中毒文件所在然后给它重命名如果能重命名的话该文件将不可用病毒也就没有了