由dbhelp.dll所引发的……
                                                    ――dbhelp.dll删除手记

    近日，瑞星防火墙总是提示有同网段的机器不停向我的计算机发出ping命令，此现象司空见惯，产生的原因也有很多，不过归根到底就是中毒了，所以并未在意，只是告诉机器的主人用瑞星查杀病毒，用360安全卫士查杀木马。这两款软件我一直在用，感觉不错，一般的问题全都能够搞定，故推荐之。^_^ 特别是360安全卫士，它对木马病毒和恶意插件的处理还是很能令人满意的。

    结果很快就出来了，有一个木马，无论如何也杀不掉，360安全卫士显示需要重新启动才能删除，可是每次重新启动后仍然能够查到该木马的存在。这个可恶的家伙就是我们今天的主角――dbhelp.dll 。

    我决定亲自去看看到底是什么情况，在去之前我当然是先上网看看最近是否有关于此类情况的帖子，也好心中有数，帖子的确不少――出问题的多，提供有参考价值和有效解决办法的少。更别提什么专杀工具了。在此特别感谢360安全论坛中的网友safe119，他的《关于本人手工清理mppds.dll木马的方案手记》一文给了我一定的帮助。不过，情况各有不同，真正动起手来所发现的问题是如此令人头痛，虽然问题最终得以解决，但其中的很多东西是凭借经验和感觉来做的，并没有真正找到问题的根源，故有此一文，把我的操作过程详细记录下来，供遇到类似问题的人参考，并希望看过此文的朋友能够对其中我不知道的东西加以深究（如果有价值的话）。^_^

    根据机主的描述，我首先还是用安全卫士扫描恶意插件和木马，目的是确定它们所在的位置。结果，查出dbhelp.dll木马，位于c:\windows\dbhelp.dll 。我尝试了各种删除的方法，其中可以将此删除的方法是“冰刃”（IceSword.exe）中的强制删除，和在安全模式下删除。这里要说明的是重新启动后dbhelp.dll还会出现，所以我尝试了很多删除的办法，包括在安全模式下。

    看来这个家伙挺顽固啊，360既然可以查出此木马，但又不能将其处理掉，检查系统时，我首先想到了系统时间，某些病毒利用修改系统时间使杀毒软件失效。一检查，当前的系统时间果然被修改了，大概是1987年×月×日，记不清了。此时我对360还是抱有一丝希望的，可是重新改正了系统时间后，360仍然不能将其删除，包括文件粉碎。打开其它盘符，发现了其它的可疑文件（此时我删除的都是*.exe），显然dbhelp.dll与我删除的其中某一个有着必然的联系，但我没能将其确定。当我删除了包括c:\windows 目录下的winRaR.exe,ghost.exe,w.exe等若干个可疑的可执行文件后，再次用“冰刃”删除了dbhelp.dll 。

    这回的结果让我满意，重启后进入c:\windows没有dbhelp.dll的踪影，dbhelp.dll被删除了！可是，问题接踵而至……

    用360安全卫士再次扫描，结果发现木马：名称Win32.Looked.AH，路径c:\windows\RichDll.dll；名称menevfznjceic.dll，路径c:\docume~1\Admin\Load s~1\temp\$$a4.tmp 。并发现c:\docume~1\Admin\Load s~1\temp\E_4 中的可疑文件eAPI.fne，krnln.fnr，shell.fne，shellEX.exe；及c:\docume~1\Admin\Load s~1\temp 中的$$a7.tmp 。“冰刃”删除后，重启病毒仍然存在。并且在每次重启后360安全卫士都会提示发现Avwgcmn.dll欲篡改注册表启动项。

    这又是怎么一回事儿啊？如果有木马病毒为什么在删除dbhelp.dll之前不能查出，删除之后突然出现是否意味着什么……还是纯属巧合，事发偶然，本人不得而知。当时已经搞的有点郁闷了，不管三七二十一，当然是杀！杀！！杀！！！

    运行regedit打开注册表，发现run中果然有一键值非我所能容忍，load***一项（具体load什么实在想不起来了），点击删除键值，不能删除――郁闷啊。我记得此前检查过注册表，并没有发现有这个load……什么的键值，十分怀疑是删除dbhelp.dll后才有的。不过也有一时匆忙没看到的可能。^_^

    重新启动，进入安全模式。我首先删除了run中的load……这个键值，并搜索menevfznjceic.dll和avwgcmn.dll将其删除；删除c:\windows\uninstall\rundll32.dll；并再次查看windows，system32，temp文件夹删除其中的可疑文件。打开其它磁盘，查看隐藏文件夹中是否有可以文件，删除之。

    一通忙活下来，到了检验成果的时候――重新启动，正常进入系统。360安全卫士不再提示发现Avwgcmn.dll欲篡改注册表启动项。再次扫描恶评插件和木马，显示menevfznjceic.dll仍然存在，路径为c:\docume~1\Admin\Load s~1\temp\$$a3.tmp 。

    接下来，就是我的运气比较好了。因为系统磁盘中的f：是一块空磁盘，在重启之前我刚好又将它重新格式化过，当我欲寻找到底是什么东东让menevfznjceic.dll死灰复燃而再次将f:盘打开时我发现里面多了点东西……

    f:\system volume information\_restore {}\RP143 ――这是一个隐藏的文件夹，我很确定它里面的change.*文件有问题，有幸我打开看了一下，遗憾没把它拷贝出来。当我清除了每个磁盘上\system volume information\目录中的change.*文件后，重启，扫描恶评插件，木马，并用瑞星查毒，一切回复正常――问题解决了。^_^
   

写在最后：因为不是自己的机器，所以有很多情况不能详细的写出来。此问题的真正解决还要依靠更多有能力深究此问题的高手出力。最好能够弄个专杀出来。^_^


[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)