boqaopa.dll

来源:百度知道 编辑:UC知道 时间:2024/06/15 05:22:06
名称:AppInit_DLLs
路径:C:\WINDOWS\system32\Boqaopa.dll
出品公司:
行为描述:篡改系统启动项
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
用360的时候发现的..本来还有Mscat.dll,后面删除掉,但这个一直重复生成。没有办法删掉。.也不知道是什么东西
? C:\ManagerLog.txt explorer.exe eieoao ccffbbsttkglmmnnpphqrddsssvw zpttrkgbvsrr 3241950687
GetLastError KERNEL32.dll [RegCloseKey ?RegSetValueExA {RegQueryValueExA rRegOpenKeyExA ADVAPI32.dll  ??3@YAXPAX@Z ?strcpy ?memset  ??2@YAPAXI@Z ?_vsnprintf ?strlen Y_mbscmp _except_handler3 ?malloc ?memcpy ?sprintf ?toupper |_mbsstr c_mbslwr ?strcat <_local_unwind2 MSVCRT.dll ^free _initterm _adjust_fdiv \\.\PHYSICALDRIVE%d .dll msvcrt.dll %s.dll krgfbbsvtv ? \ %s /c del %s COMSPEC
这些是用记事本打开后看见的一些片段.希望有用

我在ShellExecuteHooks 发现好多的DLL项呢。但用了qhbpri木马专杀都查不出来。有没可能不是病毒呢

凡是利用Appinit_dll键值的病毒都比较顽固。

其实正常使用时Appinit_dll键值没有使用,因此可以通过修改权限的方法来消灭病毒,由于该病度采用多线程注入方式,不间断的改写Appinit的值来进行自我保护,所以通过移除模块的方式是不行的,找到下面的子项,击右键,选择权限,将所有的权限全部去除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

由于此病毒较为顽固,还必须找到下面的子项,击右键,选择权限,将所有的权限全部去除,这里会发生一个从父项继承的问题,可以点击高级选项,将从父项继承的复选框的钩去掉,选择删除权限即可
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

然后重启计算机,一切OK。