感染AppInit_DLLs病毒后,会在系统注册表的AppInit_DLLs键值中添加病毒体文件的加载项,当系统启动时,就会加载至系统当前进程中,而且此病毒使用了保护机制,当发现相关注册表键被修改或病毒体文件被清除后,会重新生成相关注册表键和病毒体文件,导致病毒无法删除。针对此,我总结了一种清除方法如下。
使用到的工具:
1、WINPE光盘系统
2、最新版360安全卫士
3、Windows清理助手
4、恶意软件清理助手
5、金山清理专家
6、Sreng2
7、360顽固木马专杀大全
8、SysinternalsSuite工具箱
一、 WINPE工具光盘中的操作
因为此病毒是在系统启动时进行加载,且具有保护机制,所以我们先使用WINPE工具光盘系统来清除病毒体和相关注册表键值,以达到破坏病毒的保护机制。
使用WINPE工具光盘引导计算机进入PE系统中,使用手工和安全工具结合的方法来操作。
1、清除硬盘系统中病毒的相关注册表AppInit_DLLs键的值
感染此病毒后,会在注册表的AppInit_DLLs键值中添加病毒体文件的挂载项,每次启动系统后,会加载病毒体文件,因此,我们必须破坏病毒在注册表中的加载项。
使用WINPE光盘系统中的“编辑目录Windows注册表Regedit”工具来编辑硬盘中的系统注册表,删除AppInit_DLLs键值中的病毒体链接。
(选择硬盘系统所在的系统目录,如系统在C盘,则选择C:\Windows目录)
AppInit_DLLs键位于下图所示的注册表位置
就将注册表恢复为下图所示的空值(也有一些防病毒软件会在此处添加链接,如:卡巴斯基防病毒软件)
2、安装360安全卫士进行硬盘的病毒查杀
因为很多安全工具是针对当前系统进行病毒的查杀,所以如果要在WINPE光盘系统中针对硬盘系统来进行病毒的清理,则必须使用可以指定清理区域路径的安全工具。
在本WINPE光盘系统中可以安装软件,所以我们可以安装360安全卫士并指定其查杀区域来进行病毒的清理。
(注意:在扫描完毕后,其中有一个“X”盘的病毒不要选择,那个是WINPE光盘系统中的系统文件,清除此文件会引起WINPE光盘系统蓝屏)
3、使用“Windows清理助手”指定区域进行硬盘的病毒查杀
Windows清理助手也可以指定相关的区域来进行病毒的清理,所以我们也可以用它在WINPE光盘系统中进行病毒的清理。操作步骤如下图:
4、手工进行硬盘中病毒的清理
设置
显示所有文件后,再查找删除%WINDIR%、%WINDIR%\SYTEM32、%WINDIR%\FONTS、%WINDIR%\SYSTEM32、DRIVERS等目录以及各根目录下的病毒文件及垃圾文件。
设置
显示公司名称,然后查找那些无公司名称的EXE、SYS、DLL类型的文件,如果不能确定是否是病毒文件的,可以在网络上去搜索下是什么文件;一般的病毒文件取名都是那种随机的文件名(例如:a.exe、1.exe之类),删除这些文件,如果不能清除的话,可以使用冰刃进行强行删除。
5、删除系统中的垃圾文件
有很多病毒会存在于系统中的垃圾文件目录以及各分区的卷标目录下,因此我们需清除这些目录下的文件。
删除如图中的
TEMP及Temporary Internet Files下的文件、Content.IE5下的文件夹;以及
卷标目录下的所有文件及文件夹;删除
目录下的所有文件及文件夹……
二、 硬盘系统安全模式的操作
因系统中还有一些病毒的加载没有清除,所以必须先进入安全模式进入病毒的清理。
1、使用360安全卫士进行木马与插件的清除
重启系统进入硬盘系统的安全模式,重新安装360安全卫士,进行恶评软件的扫描与清除、进行查杀木马的全盘扫描与清除。
2、使用Windows清理助手、恶意软件清理助手进行木马的清除
使用Windows清理助手、恶意软件清理助手全盘进行木马的扫描与清除。
3、使用金山清理专家清理病毒
安装金山清理专家进行木马的清理。
4、使用SysinternalsSuite工具箱进行清理
使用SysinternalsSuite中的程序进行注册表、驱动、AppInit_DLLs等位置病毒加载的清除。如下图
主要查找各页面中的非微软项,删除其中的病毒加载项。
5、使用Sreng修复系统
使用Sreng修复系统文件关联、Windows Shell / IE;
清除“Win32服务应用程序”及“驱动程序”中的病毒加载项
如果不能确定的到网上去查找资料确定为病毒的再删除
(注意:有一部分病毒会注册这两类服务,注意其中有一个SECDRV及TCP的服务不能删,否则系统启动不了或无法使用网络)
6、使用“360顽固木马专杀大全”进行木马的清除
使用“360顽固木马专杀大全”进行顽固木马的清除、免疫与系统相关方面的修复。
7、使用Symantec防病毒软件查杀病毒
最后使用Symantec防病毒软件查杀一次病毒。
三、 正常模式下进行病毒查杀
最后,在正常模式下进行一次病毒的查杀,检查是否已彻底清除病毒。
本方法适用于所有病毒的清除。