同事计算机启动后安全卫士突然报装载xxyu.dll(某盗号木马),马上按照老的方式,在注册表里面搜索,找到相关项以及ClassID,统统备份删除,结果问题如故,看看还不是那么简单了。
后来发现有一个注册表项AppInit_Dlls无论怎么删除修改,总是自动还原为带有上述dll的值。
上网搜索了一下相关资料,原来可以利用该项通过Explorer来加载dll的。
对于此类情况,可使用X-PS来卸载dll:
打开CMD,然后用任务管理器终止EXPLORER(有时Explorer会加载dll导致无法卸载木马DLL模块,影响手动清除,所以最好先终止)。
在CMD里执行
ps /m /f sidjazy.dll(列出哪些进程包含xxyu.dll模块),
ps /e * sidjazy.dll(卸载所有进程中的xxyu.dll模块),执行这个卸载命令后会出现下图的WINLOGON提示,如果点确定或取消都会立刻蓝屏的,将提示窗口移到一边,不管它。
再执行ps /m /f xxyu.dll看看有没有进程仍加载此模块,如果有残留,继续执行卸载命令,确保卸载完毕。
在CMD下转到c:\windows\system32下,执行attrib xxyu.dll -r -s -h,最后del xxyu.dll
清除注册表相关项。
经过以上操作,重启,问题暂时解决,结果发现非安全模式下又出现了,这个东东的确比较厉害的,安全卫士还经常报www.baiduby.com/PE_PATCH.UPX//UPX,真是无计可施了。
不知道大家是否碰到类似情况,也请分享一下解决方法。
