DLL文件的妙用让“病毒”制服病毒

时间：2024年04月30日

来源：sz199131

编辑：本站小编

下面是小编精心整理的DLL文件的妙用让“病毒”制服病毒，本文共3篇，仅供参考，大家一起来看看吧。本文原稿由网友“sz199131”提供。

篇1：DLL文件的妙用让“病毒”制服病毒

某单位的一台公用电脑接入了互联网，没多久，就被一个恶意网页病毒感染，出现如下症状:打开IE后会自动进入一个名为“久好网址之家”的网址大全类的网站，进入IE的“Internet选项”，发现主页被设置为“www.ok9*.net”，同时使用“搜索”功能时，发现搜索也被修改指向“www.ok9*.net”，令人厌烦，

运行“注册表编辑器”，以“www.ok9.net”为关键词查找出所有被恶意网页修改的内容，并全部更改回原来的值。但重启系统并启动IE后，又自动打开了那个恶意网站，而且其他地方也被修改了，看来这个恶意网站一定还在系统启动时做了什么手脚！

于是在“运行”中输入“msconfig”，打开系统配置实用程序，逐项查找System.ini、Win.ini以及“启动”项中的所有自启动项目，终于在“启动”项中发现了两个极为可疑的键值。虽然一个是默认键值，一个键值名称为“win”，但两者的键值数据都是“regedit -s c:\\windows\\win.dll”。其中“-s”参数表示让这个导入操作在后台默默进行，不会有任何提示，这个相信不少读者已经了解，但奇怪的是导入的是“Win.dll”文件，怎么会是一个动态链接库文件呢？试着用记事本打开该文件，发现原来这是一个文本格式的文件，只不过被修改了扩展名而已。我分析了一下这个“Win.dll”文件，原来系统总是自动被恶意修改就是它在起作用。

找到了症结所在，解决方法当然就是删除这个键值，并删除“Win.dll”文件，接着进入“注册表编辑器”将恶意修改的键值改回来，这样恶意网页病毒全部清除。

小提示

巧用“病毒”治病毒

上面提到进入“注册表编辑器”来改回默认键值，但这样操作起来有些麻烦，其实你完全可以利用那个“Win.dll”来自动还原被恶意修改的键值。可以将其内容修改成这样:

REGEDIT4

[空一行]

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

@=“”

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

“win”=-

[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]

“Start Page”=“”

“First Home Page”=“”

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main]

“Start Page”=“”

“First Home Page”=“”

rcx

保存修改后的“Win.dll”文件，然后运行一下命令“regedit -s c:\\windows\\win.dll”，重启后，所有的恶意修改一下子就全部被恢复了，你还可以保存着这个文件，如果再遇到这个恶意网页，只需要用这个文件恢复一下就可以了，非常方便，

关于恶意网页修改注册表以及IE的问题我们已经说过了很多次。究其原理，其实都是通过“脚本”这样一个双刃剑修改注册表来达到目的的。不过这个“乔装成DLL文件的新型恶意网页病毒”又给了我们一点新的启示:用regedit导入到注册表中的文件不仅可以是文本类型的文件，还可以是其他扩展名的文件。如果你觉得用手工修改的方法来恢复比较麻烦的话，这里另外提供两个比较简单的方法:访问assistant.3721.com，然后点击“安全与修复”链接进行在线修复，用小工具“IE修复专家”，它也能轻松解决这类恶意脚本引起的诸多问题。

篇2：清除QQ病毒，让隐藏文件现身

地球人都知道隐藏文件在默认状态下是不显示在文件夹窗口中的，可是有朝一日我们需要使用隐藏文件时，常常会打开系统的文件夹选项设置窗口，来选中显示所有文件和文件夹，将隐藏文件重新显示在眼前，可事实上，我们有时即使选中了显示所有文件和文件夹，隐藏文件还是不肯现身，这是怎么回事呢，我们又该如何才能让隐藏文件现身呢？

其实隐藏文件不肯现身，多半是系统受到了一种名为sxs.exe病毒的攻击，该病毒的全称叫Trojan.PSW.QQPass.pqb病毒，它一般通过常用的闪盘或移动硬盘进行非法传播，该病毒的主要危害就是强行终止安装在本地系统中的防病毒软件的应用进程，降低本地计算机系统的安全等级，同时还会偷窃本地的QQ密码与帐号；一旦计算机系统不小心感染了sxs.exe病毒后，系统的每个分区根目录窗口中都会出现sxs.exe文件和autorun.inf文件，而且用鼠标双击系统分区盘符，系统没有任何反应，更为重要的是无法将系统的隐藏文件正常显示出来。

因此，当我们选中了本地系统中的显示所有文件和文件夹功能选项后，仍然无法让隐藏文件现身时，我们只要进入系统任务管理器的进程标签页面，看看系统中是否运行了svohost.exe或sxs.exe这样的服务进程，一旦看到的话，那就表明隐藏文件的确受到了sxs.exe病毒的控制。要想强行让隐藏文件现身，我们必须按照如下方法将sxs.exe病毒巧妙从系统中清除干净，

首先同时按下键盘上的Ctrl+Alt+Del复合键，打开系统的任务管理器窗口，单击该窗口中的进程标签，并在对应标签页面中选中svohost.exe或sxs.exe这样的进程，再单击结束进程按钮，这样就能将sxs.exe病毒的进程强行禁止了。

接着依次单击开始/运行命令，打开系统的运行对话框，在其中输入regedit字符串命令，单击确定按钮后，进入到本地计算机的系统注册表编辑窗口；在该编辑窗口的左侧显示窗格中，用鼠标展开HKEY_LOCAL_MACHINE分支项目，并在该分支项目下面再依次选择SOFTWARE\\Microsoft\\

Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL子项，在对应SHOWALL子项的右侧列表区域中（如图1所示），检查一下是否存在一个名为CheckedValue的双字节值。在这里大家需要留心的是，一旦计算机系统遭受到sxs.exe病毒的攻击之后，CheckedValue键值的类型很有可能被修改成字符串值类型的，这种类型的键值是根本没用的；

因此当我们看到SHOWALL子项下面不存在CheckedValue键值，或者发现该键值类型不对时，先将无用的字符串值CheckedValue删除掉，然后用鼠标右键单击SHOWALL子项右侧列表区域的空白位置处，从随后弹出的快捷菜单中依次选择新建/Dword值命令，并将刚刚创建的双字节值名称设置为CheckedValue；紧接着用鼠标双击刚刚创建好的CheckedValue双字节值，在弹出的编辑Dword值设置窗口中，将数字1直接填写在数值数据文本框中，再单击确定按钮结束设置操作，最后再将计算机系统重新启动一下；

篇3：妙除QQ病毒，让隐藏文件现身病毒防范

地球人都知道隐藏文件在默认状态下是不显示在文件夹窗口中的，可是有朝一日我们需要使用隐藏文件时，常常会打开系统的“文件夹选项”设置窗口，来选中“显示所有文件和文件夹”，将隐藏文件重新显示在眼前，

妙除QQ病毒，让隐藏文件现身病毒防范

。可事实上，我们有时即使选中了“显示所有文件和文件夹”，隐藏文件还是不肯“现身”，这是怎么回事呢，我们又该如何才能让隐藏文件“现身”呢？

其实隐藏文件不肯“现身”，多半是系统受到了一种名为“sxs.exe”病毒的攻击，该病毒的全称叫Trojan.PSW.QQPass.pqb病毒，它一般通过常用的闪盘或移动硬盘进行非法传播，该病毒的主要危害就是强行终止安装在本地系统中的防病毒软件的应用进程，降低本地计算机系统的安全等级，同时还会偷窃本地的QQ密码与帐号；一旦计算机系统不小心感染了“sxs.exe”病毒后，系统的每个分区根目录窗口中都会出现“sxs.exe”文件和“autorun.inf”文件，而且用鼠标双击系统分区盘符，系统没有任何反应，更为重要的是无法将系统的隐藏文件正常显示出来。

因此，当我们选中了本地系统中的“显示所有文件和文件夹”功能选项后，仍然无法让隐藏文件“现身”时，我们只要进入系统任务管理器的进程标签页面，看看系统中是否运行了“svohost.exe”或“sxs.exe”这样的服务进程，一旦看到的话，那就表明隐藏文件的确受到了“sxs.exe”病毒的控制。要想强行让隐藏文件“现身”，我们必须按照如下方法将“sxs.exe”病毒巧妙从系统中清除干净。

首先同时按下键盘上的Ctrl+Alt+Del复合键，打开系统的任务管理器窗口，单击该窗口中的“进程”标签，并在对应标签页面中选中“svohost.exe”或“sxs.exe”这样的进程，再单击“结束进程”按钮，这样就能将“sxs.exe”病毒的进程强行禁止了。

接着依次单击“开始”/“运行”命令，打开系统的运行对话框，在其中输入“regedit”字符串命令，单击“确定”按钮后，进入到本地计算机的系统注册表编辑窗口；在该编辑窗口的左侧显示窗格中，用鼠标展开“HKEY_LOCAL_MACHINE”分支项目，并在该分支项目下面再依次选择“SOFTWARE\\Microsoft\\

Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL”子项，在对应“SHOWALL”子项的右侧列表区域中（如图1所示），检查一下是否存在一个名为“CheckedValue”的双字节值，

在这里大家需要留心的是，一旦计算机系统遭受到“sxs.exe”病毒的攻击之后，“CheckedValue”键值的类型很有可能被修改成字符串值类型的，这种类型的键值是根本没用的；

图1

因此当我们看到“SHOWALL”子项下面不存在“CheckedValue”键值，或者发现该键值类型不对时，先将无用的字符串值“CheckedValue”删除掉，然后用鼠标右键单击“SHOWALL”子项右侧列表区域的空白位置处，从随后弹出的快捷菜单中依次选择“新建”/“Dword值”命令，并将刚刚创建的双字节值名称设置为“CheckedValue”；紧接着用鼠标双击刚刚创建好的“CheckedValue”双字节值，在弹出的编辑Dword值设置窗口中，将数字“1”直接填写在“数值数据”文本框中（如图2所示），再单击“确定”按钮结束设置操作，最后再将计算机系统重新启动一下；

图2

下面为了防止“sxs.exe”病毒“卷土重来”，再次对系统做出不利的事情出来，我们还需要用鼠标右键单击系统分区盘符，从弹出的快捷菜单中执行“打开”命令（呵呵，尽量不要使用双击鼠标的方法打开系统分区根目录哟，这可能会帮助“sxs.exe”病毒又执行一次破坏操作哟），进入到系统分区根目录窗口，将其中的“sxs.exe”文件和“svohost.exe”文件直接删除掉。然后再次进入到系统的注册表编辑窗口，用鼠标展开其中的“HKEY_LOCAL_MACHINE”分支项目，并在该分支项目下面依次选择“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”子项，在对应“Run”子项的右侧列表区域中，检查一下是否存在一个名为“SoundMam”的字符串值，要是发现该字符串值存在的话，再用鼠标双击该键值，从弹出的数值设置窗口中，确认一下该字符串键值的内容是否为“C:\\Windows\\system32\\svohost.exe”，之后选中“SoundMam”字符串值并将它删除掉，并退出注册表编辑窗口；

现在打开系统的资源管理器窗口，进入到系统分区目录下面的“system32”子文件夹窗口，再将该窗口中的“sxs.exe”文件和“svohost.exe”文件直接删除掉，最后再进行一次系统启动操作，相信这么一来我们再次打开“文件夹选项”设置窗口，并选中“显示所有文件和文件夹”时，多半能够将隐藏的系统文件重新显现出来了。

DLL文件的妙用让“病毒”制服病毒.doc

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

DLL文件的妙用 让“病毒”制服病毒

篇1：DLL文件的妙用 让“病毒”制服病毒

篇2：清除QQ病毒，让隐藏文件现身

篇3：妙除QQ病毒，让隐藏文件现身病毒防范

DLL文件的妙用让“病毒”制服病毒

篇1：DLL文件的妙用让“病毒”制服病毒