殺毒軟體還原的文件名會修改

1. 系統備份的那個文件會被惡意病毒篡改嗎

幫你找了幾篇，希望能幫到你。
AppInit_DLLs是注冊表內的一個鍵值 不是文件 不能粉碎
只要將其內容清空即可

注冊表的系統設置項「AppInit_DLLs」可以為任一個進程調用一個dll列表
早期的進程插入式木馬的伎倆，通過修改注冊表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]來達到插入進程的目的。缺點是不實時，修改注冊表後需要重新啟動才能完成進程插入。如求職信病毒。利用注冊表啟動，就是讓系統執行DllMain來達到啟動木馬的目的。因為它是kernel調入的，對這個DLL的穩定性有很大要求，稍有錯誤就會導致系統崩潰，所以很少看到這種木馬。
任何操作系統都會在啟動時自動運行一些程序，用以初始化系統環境或額外功能等，這些被允許跟隨系統啟動而運行的程序被放置在專門的區域里供系統啟動時載入運行，這些區域就是「啟動項」，不同的系統提供的「啟動項」數量也不同，對於Win9x來說，它提供了至少5個「啟動項」:DOS環境下的Autoexec.bat、Config.sys，Windows環境下的「啟動」程序組、注冊表的2個Run項和1個RunServices項，分別是:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

到了2000/XP系統時代，DOS環境被取消，卻新增了一種稱之為「服務」的啟動區域，注冊表也在保持原項目不變的基礎上增加了2個「啟動項」:

項目 鍵名

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run

這么多的啟動入口，木馬自然不會放過，於是我們經常在一些計算機的啟動項里發現陌生的程序名，這時候就只能交由你或者病毒防火牆來判斷了，畢竟系統自身會在這里放置一些必要的初始化程序，還有一些正常工具，包括病毒防火牆和網路防火牆，它們也必須通過啟動項來實現跟隨系統啟動。

此外還有一種不需要通過啟動項也能達到跟隨系統啟動的卑劣手法，那就是「系統路徑遍歷優先順序欺騙」，Windows系統搜尋一個不帶路徑信息的文件時遵循一種「從外到里」的規則，它會由系統所在盤符的根目錄開始向系統目錄深處遞進查找，而不是精確定位的，這就意味著，如果有兩個同樣名稱的文件分別放在C:\和C:\Windows下，Windows會執行C:\下的程序，而不是C:\Windows下的。這樣的搜尋邏輯就給入侵者提供了一個機會，木馬可以把自己改為系統啟動時必定會調用的某個文件名，並復制到比原文件要淺一級以上的目錄里，Windows就會想當然的執行了木馬程序，系統的噩夢就此拉開序幕。這種手法常被用於「internat.exe」，因為無論哪個Windows版本的啟動項里，它都是沒有設置路徑的。

要提防這種佔用啟動項而做到自動運行的木馬，用戶必須了解自己機器里所有正常的啟動項信息，才能知道木馬有沒有混進來。至於利用系統路徑漏洞的木馬，則只能靠用戶自己的細心了。

根除木馬——文件並聯型木馬的查殺

某些用戶經常會很郁悶，自己明明已經刪除了木馬文件和相應的啟動項，可是不知道什麼時候它自己又原封不動的回來了，這還不算，更悲慘的是有時候殺掉某個木馬後，系統也出了故障:所有應用程序都打不開了。這時候，如果用戶對計算機技術的了解僅限於使用殺毒軟體，那可只能哭哭啼啼的重裝系統了!

為什麼會這樣?難道這種木馬還惡意修改了系統核心?其實答案很簡單，因為這種木馬修改了應用程序(EXE文件)的並聯方式。
什麼是「並聯方式」呢?在Windows系統里，文件的打開操作是通過注冊表內相應鍵值指定的應用程序來執行的，這個部分位於注冊表的「HKEY_CLASSES_ROOT」主鍵內，當系統收到一個文件名請求時，會以它的後綴名為依據在這里識別文件類型，進而調用相應的程序打開。而應用程序自身也被視為一個文件，它也屬於一種文件類型，同樣可以用其他方式開啟，只不過Windows設置它的調用程序為「"%1" %*」，讓系統內核理解為「可執行請求」，它就會為使用這種打開方式的文件創建進程，最終文件就被載入執行了，如果有另外的程序更改了這個鍵值，Windows就會調用那個指定的文件來開啟它。一些木馬程序把EXE後綴名對應的exefile類型的「打開方式」改成了「木馬程序 "%1" %*」，運行程序時系統就會先為「木馬程序」創建進程，把緊跟著的文件名作為參數傳遞給它執行，於是在我們看來程序被正常啟動了。因為木馬程序被作為所有EXE文件的調用程序，使得它可以長期駐留內存，每次都能恢復自身文件，所以在一般用戶看來，這個木馬就做到了「永生不死」。然而一旦木馬程序被刪除，Windows就會找不到相應的調用程序，於是正常程序就無法執行了，這就是所謂的「所有程序都無法運行」的情況來源，並不是木馬更改了系統核心，更沒必要因此重裝整個系統。

根除這種木馬的最簡單方法只需要查看EXE文件的打開方式被指向了什麼程序，立即停止這個程序的進程，如果它還產生了其他木馬文件的話，也一起停止，然後在保持注冊表編輯器開啟著的情況下(否則你的所有程序都會打不開了)刪除掉所有木馬文件，把exefile的「打開方式」項(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原來的「」%1」 %*」即可。

如果刪除木馬前忘記把並聯方式改回來，就會發現程序打不開了，這時候不要著急，如果你是Win9x用戶，請使用「外殼替換大法」:重啟後按F8進入啟動菜單選擇MS-DOS模式，把Explorer.exe隨便改個名字，再把REGEDIT.EXE改名為Explorer.exe，再次重啟後會發現進入Windows只剩下一個注冊表編輯器了，趕快把並聯方式改回來吧!重啟後別忘記恢復以前的Explorer.exe。

對於Win2000/XP用戶而言，這個操作更簡單了，只要在開機時按F8進入啟動菜單，選「命令提示符的安全模式」，系統就會自動調用命令提示符界面作為外殼，直接在裡面輸入REGEDIT即可打開注冊表編輯器!XP用戶甚至不需要重啟，直接在「打開方式」里瀏覽到CMD.EXE就能打開「命令提示符」界面運行注冊表編輯器REGEDIT.EXE了。

追回被盜的系統文件

除了添加自己到啟動項、路徑欺騙和更改文件並聯以外，一般的木馬還有一種伎倆可以使用，那就是替換系統文件。由於如今的操作系統都是由許多文件共同構造的，並不是所有用戶都能明白系統文件夾里每個文件的作用，這就給了木馬可乘之機，它們盯上了系統里那些不會危害到系統正常運行而又經常會被調用的程序文件，像輸入法指示程序internat.exe、讓動態鏈接庫可以像程序一樣運行的rundll32.exe等。木馬先把系統原來的文件改名成只有它們自己知道的一個偏僻文件名，再把自己改名成那個被替換的文件，這樣就完成了隱藏極深的感染工作，從此只要系統需要調用那個被替換的程序進行工作，木馬就能繼續駐留內存了。那麼文件被替換會不會導致系統異常呢?只要木馬沒有被刪除，就不會造成系統異常，因為木馬在作為原來的程序而被系統啟動時，會獲得一個由系統傳遞來的運行參數，這就是系統要求該程序工作的關鍵所在，木馬會直接把這個參數傳遞給被改名的程序執行，像接力比賽那樣完成數據操作，這樣在系統看來就是命令被正常執行了，自然不會出現異常。但是也因為這樣的特性導致木馬被查殺後，系統的某些命令無法傳遞到本該執行操作的程序中，反而讓系統出錯了。

要修復它其實很簡單，只要記住這個木馬的文件名，在刪除它之後再從系統光碟復制一個「原配」文件就可以了，如果沒有系統光碟，就必須通過工具追蹤木馬傳遞參數的目標程序名，再把它改回來。

qhbpri木馬（AppInit_DLLs）專殺工具

1.變名，變形，大量自我復制（*pri.dll，前面為變名字母），躲避殺毒軟體查殺，普通方式無法徹底清除
2.非法修改Windows注冊表AppInit_DLLs達到優先啟動的效果。
3.隱蔽插入到其他程序進程，普通方式難以查殺。
4.下載其他木馬，與木馬指定的伺服器通訊，泄露用戶隱私，盜竊網路財產帳號。
5. 360安全衛士主程序檢測到和C:\WINDOWS\system32\kvdxbma.dll

qhbpri木馬專殺（9月4日更新版本）：

HTTP下載：

手動的方法

1、啟動注冊表：
開始——運行——鍵入：REGEDIT——打開注冊表
按照360提示的位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 找到「AppInit_DLLs」
把「AppInit_DLLs」改成「0」（注意：刪除沒有用，會自動重建。）

2、分別運行「Windows清理助手」和「惡意軟體清理助手」清理系統

appinit_dlls是什麼？

appinit_dlls存在路徑在windowsNT/cv/windows/APPInit_DLLs ，appinit_dlls是不是病毒呢？

注冊表的系統設置項「AppInit_DLLs」可以為任一個進程調用一個dll列表
早期的進程插入式木馬的伎倆，通過修改注冊表中的

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]來達

到插入進程的目的。缺點是不實時，修改注冊表後需要重新啟動才能完成進程插入。如求職信病毒。利

用注冊表啟動，就是讓系統執行DllMain來達到啟動木馬的目的。因為它是kernel調入的，對這個DLL的

穩定性有很大要求，稍有錯誤就會導致系統崩潰，所以很少看到這種木馬。

appinit_dlls分析：

最近很多人發現有appinit_dlls這個文件，查查看你的電腦是否安裝了木馬剋星，再查看appinit_dlls

的數值是什麼，如果是 APIHookDll.dll ，那你的電腦沒有中毒，這個只是木馬剋星的文件，不用擔心

。

如果不是，說明你中毒了，可以參考以下辦法清除appinit_dlls病毒。

appinit_dlls病毒清除辦法：

appinit_dlls病毒DLL型後綴病毒的手工殺毒的方法教程：

這類病毒大多是後門病毒，這類病毒一般不會把自己暴露在進程中的，所以說特別隱蔽，比較不好發現

。啟動DLL後門的載體EXE是不可缺少的，也是非常重要的，它被稱為：Loader。如果沒有Loader，那DLL

後門如何啟動呢？因此，一個好的DLL後門會盡力保護自己的Loader不被查殺。Loader的方式有很多，可

以是為我們的DLL後門而專門編寫的一個EXE文件；也可以是系統自帶的Rundll32.exe和 Svchost.exe，

即使停止了Rundll32.exe和Svchost.exeDLL後門的主體還是存在的。現在大家也許對DLL有了個初步的了

解了，但是不是後綴是DLL就是病毒哦，也不要因為系統有過多的Rundll32.exe和Svchost.exe進程而擔

心，因為他們不一定就是病毒，所以說這個病毒比較隱蔽，下邊來介紹幾種判別辦法：
1/Svchost.exe的鍵值是在「HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\

CurrentVersion\Svchost」每個鍵值表示一個獨立的Svchost.exe組。微軟還為我們提供了一種察看系統

正在運行在 Svchost.exe列表中的服務的方法。以Windows XP為例：在「運行」中輸入：cmd，然後在命

令行模式中輸入：tasklist /svc。如果使用的是Windows 2000系統則把前面的「tasklist /svc」命令

替換為：「tlist -s」即可。如果你懷疑計算機有可能被病毒感染，Svchost.exe的服務出現異常的話通

過搜索 Svchost.exe文件就可以發現異常情況。一般只會找到一個在：「C:\Windows\System32」目錄下

的Svchost.exe程序。如果你在其他目錄下發現Svchost.exe程序的話，那很可能就是中毒了。
2/還有一種確認Svchost.exe是否中毒的方法是在任務管理器中察看進程的執行路徑。但是由於在

Windows系統自帶的任務管理器不能察看進程路徑，所以要使用第三方的進程察看工具。比如Windows優

化大師中的Windows 進程管理 2.5。這樣，可以發現進程到底饔昧聳裁碊LL文件.
3/普通後門連接需要打開特定的埠，DLL後門也不例外，不管它怎麼隱藏，連接的時候都需要打開埠

。我們可以用netstat –an來查看所有TCP/UDP埠的連接，以發現非法連接。大家平時要對自己打開的

埠心中有數，並對netstat –an中的state屬性有所了解。當然，也可以使用Fport來顯示埠對應的

進程，這樣，系統有什麼不明的連接和埠，都可以盡收眼底。

4/最關鍵的方法對比法。安裝好系統和所有的應用程序之後，備份system32目錄下的EXE和DLL文件：打

開CMD，來到 WINNTsystem32目錄下，執行：dir *.exe>exe.txt & dir *.dll>dll.txt，這樣，就會把

所有的EXE和DLL文件備份到exe.txt和dll.txt文件中；日後，如發現異常，可以使用相同的命令再次備

份EXE和DLL文件(這里我們假設是exe0.txt和dll0.txt)，並使用：fc exe.txt exe0.txt>exedll.txt &

fc dll.txt dll0.txt>exedll.txt，其意思為使用FC命令比較兩次的EXE文件和DLL文件，並將比較結果

保存到exedll.txt文件中。通過這種方法，我們就可以發現多出來的EXE和DLL文件，並通過文件大小，

創建時間來判斷是否是DLL後門。
DLL型病毒的清除方法
1/ 在確定DLL病毒的文件的話請嘗試下邊方法
移除方法：
1. 開始——運行——輸入"Regedit"
2. 搜索"*.dll"
3. 刪除搜索到的鍵值。
4. 重啟
5. 轉到C:\Windows\System32\
6. 刪除*.dll
2/到注冊表下列地方尋找DLL的蹤跡
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost
3/如果上邊的地方都找不到的話建議使用優化大勢進程顯示工具 對 RUNDLL32.EXE和SVCHOST.EXE里邊運

行的DLL程序進行核實找到病毒文件對其進行結束 然後在對他進行刪除 建議使用第1種方法是非常有效

的

appinit_dlls病毒清除另外一種方法:

一、須准備的刑具
Windows清理助手
惡意軟體清理助手
360安全衛士

二、注冊表啟動命令：REGEDIT

三、磨刀霍霍捲袖動手——殺！！！！
1、啟動注冊表：
開始——運行——鍵入：REGEDIT——打開注冊表
按照360提示的位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

找到「AppInit_DLLs」
把「AppInit_DLLs」改成「0」（注意：刪除沒有用，會自動重建。）

2、分別運行「Windows清理助手」和「惡意軟體清理助手」清理系統

「惡意軟體清理助手」清理：「惡意軟體清理」、「注冊表項清理」、「臨時文件清理」
其中「注冊表項清理」我沒有耐心清理完
因為有幾項好像清理不掉

「Windows清理助手」使用了「定製掃描」項

四、清理完畢，重啟電腦
一切OK！

2. 電腦問題求解決

有不少網友反映，在電腦上打開程序時會彈出「無法定位程序輸入點
於動態鏈接庫上」的提示框，讓網友非常煩惱。經過分析，我們總結出了以下解決方案，可以徹底解決「無法定位程序輸入點
於動態鏈接庫上」。
當無法定位動態鏈接庫時，一般會出現什麼現象？
現象一：電腦開機啟動時，會彈出「無法定位動態鏈接庫」提示框。
現象二：運行網路游戲或單機游戲時，會彈出「無法定位程序輸入點
於動態鏈接庫上」提示框。
現象三：運行某個軟體時，顯示無法定位程序輸入點。

什麼是動態鏈接庫？
動態鏈接庫英文縮寫為DLL，它並不是可執行的文件，它是能向多個程序提供公用代碼函數和數據的封裝庫，程序所需要的一些函數和數據被事先封裝在DLL文件中，當程序運行時可以主程序需要調用這些DLL動態鏈接庫。

無法定位程序輸入點
於動態鏈接庫上是什麼原因造成的？
一、電腦感染木馬病毒導致的

現在很多木馬病毒都會替換系統文件，將真正的系統文件改名，比如WININET.dll、 Msvcrt.dll
、usp10.dll、midimap.dll、lpk.dll等都會被木馬重命名。很多殺毒軟體將木馬清除後卻沒有將被修改的系統文件名改回來，這樣打開程序調用系統文件時就會出現「無法定位程序輸入點
於動態鏈接庫上」的提示框。

比較典型的病毒是綁架類木馬，它是一種新型破壞性極強的木馬，與傳統病毒不同，它是通過綁架系統文件dll實現開機啟動。

該木馬病毒主要表現：

電腦運行非常慢。
開機很長一段時間才能進入桌面。
程序運行很緩慢。
主流殺毒軟體無法正常打開，並且重裝系統也無法解決問題。

雖然現在絕大多數殺毒軟體已經趨於人性化，一旦發現某些木馬病毒綁定系統程序，還是有不少殺毒軟體採用一刀切的方式，直接將這些被惡意綁架的系統程序刪除（其中就可能包含DLL動態鏈接庫文件），導致系統或應用程序缺少了必要的DLL動態鏈接庫，從而出現「無法定位程序輸入點
於動態鏈接庫上」的問題。
解決方案（修復方法）
（一）、軟體修復方法：
1、金山衛士
進入金山衛士主界面，選擇「查殺木馬」，然後點擊「快速掃描」即可。通過金山衛士對木馬病毒的查殺，而且還可以修復相關dll組件。
2、巨盾木馬專殺工具
利用巨盾的內存掃描就可以將這些問題解決。巨盾內存掃描不但會清除木馬文件，還會將被木馬修改的系統文件還原回來，這樣大家在打開程序是就不會出現無法定位程序輸入點於動態鏈接庫上的問題了。

3、下載安裝主流殺毒軟體（NOD32、卡巴斯基、小紅傘、Avast、McAfee、諾頓、瑞星、金山毒霸、360安全衛士等)，更新病毒庫之後全盤殺毒。
（二）、手動修復方法：

記住彈出的「無法定位程序輸入點於動態鏈接庫上」提示框中提到的dll文件，將系統提示缺少的*.dll記錄下來。重點檢查該文件是否有異常，重新復制一份該dll文件到相應的目錄（文件夾）下基本就可以解決問題。
1、下載需要的dll文件
通過網路搜索需要的dll文件，把你需要的*.dll（加上DLL後綴，比如WININET.dll）輸入到搜索框中，點擊「網路一下」按鈕，從列出的網頁中，選擇你要下載dll的網站，進入並下載需要的*.dll文件。
注意：搜索時一定要安裝殺毒軟體，並打開防火牆，以免因無法定位程序輸入點的問題導致進入釣魚網站或掛馬網站，引起電腦中毒。
2、重新啟動電腦，按F8鍵，進入安全模式。
3、將下載的*.dll文件拷貝到 C:\windows\system32\
文件夾（目錄）下。
4、再重新啟動電腦，便可以解決此問題。
注意：如果是游戲程序缺少DLL，下載之後需要將DLL復制到該游戲目錄下的指定位置（由於游戲分類眾多，所需DLL和位置
各有不同，這需要您在實踐中摸索）。
二、更新程序，升級某個軟體（或游戲）導致的。
在軟體或游戲在線更新時，本該被正常寫入或覆蓋的DLL動態鏈接庫文件因為意外的斷電、重啟、寫入錯誤等原因沒有下載更新成功，導致軟體或游戲在運行過程中缺少必要的DLL動態鏈接庫文件而報錯。
解決方案（修復方法）：一般來說，重新覆蓋安裝，即可解決問題。
三、隨意刪除系統文件，用戶自己操作失誤造成的。
用戶誤操作，不小心將程序安裝目錄中的動態鏈接庫DLL文件刪除了，導致程序啟動時無法找到相應的文件而報錯。
解決方案（修復方法）：出現這種情況，需要大家仔細回憶出現問題之前進行過哪些操作，重新下載軟體覆蓋安裝或者到別的電腦上復制一份同名的系統文件，通過這些處理也可以解決問題。
如果以上方法無法解決「無法定位程序輸入點
於動態鏈接庫上」的問題，請重新安裝系統、軟體或游戲。

3. 裝了殺毒軟體後u盤的名稱被改了怎麼回事

摘要 您好，這是中了病毒了，建議升級殺毒軟體，查殺病毒。

4. 中了勒索病毒怎麼恢復文件，文件名被改

1.有很多的安全軟體公司都出了解決方案，你可以看下360的，之前看到說是可以恢復大部分的文件。如果你文件不重要的話，也可以全盤格，重新裝下系統。裝好系統後記得做一些防護，比如關閉139和445埠。裝安全殺毒軟體等。

5. 殺毒軟體怎麼會自動修改系統文件

我們家也是這樣，不知道為什麼？

6. 殺毒軟體自動關閉 系統文件被修改

建議下載麥咖啡企業版8.5或8.7試試，免費。
我殺過很多疑難病毒都是它的功勞，其他殺毒軟體都打不開了，它任然可以正常安裝使用。
注意先卸載現在的殺毒軟體。殺好毒後不習慣，以後再裝回來。

補充：

電腦都中毒成這樣了，還捨不得放棄那什麼星的殺毒軟體...
就是怕你不好殺毒，才推薦你使用殺毒軟體的，其實一般情況下，一個360就完全可以搞定這些病毒、木馬、惡意劫持之類的。不是迫不得已都用不到殺毒軟體。你那麼執著瑞星，我們也沒辦法了。

7. 電腦中病毒了，刪除和修改的文件自動還原了，怎麼辦

電腦文件誤刪恢復？如今，電腦已經是我們辦公、生活和娛樂中必不可少的設備，更是存儲著我們很多重要的文件。但是，有的時候一些使用者可能會不小心刪除了自己還需要的重要文件，給生活或工作帶來巨大的麻煩。這個時候不用著急，有一個超級簡單的方法幫助您恢復您誤刪除的文件。

這就是關於電腦文件誤刪恢復的具體介紹了。嗨格式數據恢復大師軟體解決了很多技術層面的問題，用戶只需要根據軟體的引導，幾個簡單的點擊就可以找回自己誤刪除丟失的文件，可以說是非常簡單方便了。這么簡單的方法，你記住了嗎？