处理qhbpri木马及AppInit_DLLs问题

如今，想要裸机上网还真是麻烦。我当时正通过沙盘开启FireFox浏览器在网上冲浪，突然毫无征兆地，页面一下子全卡住了。短短几秒钟，系统时间竟跳到了2099年（这时间变化也太快了 ）。打开任务管理器一看，进程列表里一片混乱，各种陌生的进程不断涌现，左下角的进程数呈正比例增长，而且进程数量与系统可用资源几乎成双曲线关系。

经过几分钟按部就班的处理，大部分小进程都被清理掉了，可留下了一个“大BOSS”——qhbpri木马（就是那个修改AppInit_DLLs值的木马 ）。

在注册表的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

路径下，我找到了“AppInit_DLLs”键。然而，当我清除这个键的值后，它马上又被修改，这实在太让人郁闷了。我已经把可疑进程都清除干净了，难道还有其他的加载器（Loader）在作祟？

算了，暂时不想费神去深究了，肚子正饿着呢。我打算先随便下载个专杀工具把这个木马解决掉，之后再用虚拟机把它弄回来深入研究。

其实，我对AppInit_DLLs这个键值一直颇有看法。在早期，它是注册表的系统设置项，用于列出可被任一个进程调用的DLL。但这个功能曾被许多不良程序恶意利用，而在如今，它基本没什么实际用处了。我就纳闷，为什么微软不出个补丁把它彻底禁用呢？

哈哈，开个玩笑。还是先去解决吃饭问题吧。

---

相关文章

• Seafile docker部署相关问题记录
• MacBook 休眠恢复不能上网问题
• 缓解 MacBook Pro 开网页的发热问题
• 再谈Go语言的交叉编译
• 自行更换 MacBook Pro (A1708) 的电池