兩種方法刪除感染病毒的頑固DLL文件
DLL文件是Windows系統中一種比較特殊的二進制文件,不少病毒、木馬生成的DLL文件具有無進程、不可刪除、啟動方式多樣、隱蔽性高等特點。很多時候我們是通過殺毒軟件的提示知道某個DLL文件感染了病毒,但不論是在殺毒軟件中選擇刪除該文件還是手工刪除該文件都始終提示出錯。
我們之所以無法刪除可惡的DLL文件,是因為它依附到了其他進程之中,而這些進程的存在也使得DLL病毒正處于運行之中,所以要想刪除它必須先把被病毒依附的進程結束了才行,那如何才能做到呢?下面教大家兩個簡單快速的方法。
一、手工刪除
這里我們不需要下載任何工具,只要用Windows自帶的小助手即可。首先打開命令提示符窗口,輸入命令“tasklist /m BackDoorDll.dll”,效果如圖2。
這條命令意思是檢測指定名字的文件被哪些進程所調用,從結果可以看出原來DLL病毒文件插入到了進程iexplore.exe 中,此進程ID為3240,那我們現在關閉該進程,用命令“taskkill /f /PID 3240”,它的意思是強行終止ID號為3240的進程。當然,我們也可以用任務管理器結束該進程。
結束了該進程,BackDoorDll.dll沒了依靠,就可以去直接刪除它了。
這只是簡單的處理方法,如果BackDoorDll.dll插入到多個進程中,就要一個一個地結束這些進程。還有,如果病毒程序隨時監控各個進程,一旦發現某個進程被結束就立刻再次啟動該進程或被插入的是系統必需進程,無法被結束,這怎么辦呢?
別擔心,我們繼續請出Windows自帶的助手,就是利用NTFS分區格式的文件限制功能,設置某個文件是否可以被程序調用、訪問。通過這個功能,我們一樣可以阻止病毒DLL文件被調用,從而徹底地清除頑固的DLL文件。使用文件限制功能的必要條件是必須禁用簡單文件共享。
雙擊打開“我的電腦”,點擊菜單命令“工具”→“文件夾選項”→“查看”,在高級設置的選項卡下去掉“簡單文件共享”的選擇。
然后找到無法刪除的DLL文件,右擊它,在彈出的菜單中選擇“屬性”→“安全”,再單擊“高級”按鈕,在彈出的窗口中去掉“從父項繼承那些可以應用的到子對象的權限項目,包括那些在此明確定義的項目”前面的鉤,再在彈出的窗口中單擊“刪除”,最后單擊“確定”。
這樣就沒有任何用戶和文件可以訪問和調用這個DLL文件了。重新啟動系統就可以刪除該DLL文件了。
該方法雖好但也有個條件,就是頑固的DLL文件所在的磁盤分區必須是NTFS格式的。
二、使用工具軟件
這里我們使用著名的安全工具——冰刃,下載地址:http://www.mydown.com/soft/utilitie/antivirus/344/441344.shtml 。
運行軟件后選擇“進程”,在任意一個進程上右擊,選擇最后一項“查找模塊”。在彈出的搜索框中輸入已經知道的DLL文件名,然后點擊最下面的“搜索”即可查看到結果。
這里不僅列舉了所有被該病毒插入的進程,還會顯示出進程中該DLL文件所在的位置及被插入進程的文件位置,可以防止病毒偽裝成系統中正常的DLL文件名字。本例中,BackDoorDll.dll依附到了IE瀏覽器進程之中,于是我們在冰刃中找到IE的進程并右擊,選擇“模塊信息”,在彈出框中找到BackDoorDll.dll這項,再點擊右邊的“卸載”或“強行卸載”按鈕。
最后再用tasklist /m BackDoorDll.dll命令復查一下,系統中已經沒有BackDoor
Dll.dll文件的進程了。這樣,我們就可以直接刪除這個頑固的DLL文件了。
如何清除正在運行的EXE、DLL病毒清除病毒的時候,有沒有遇到過某某程序正在運行,無法清除的提示呢?其實要清除這些正在運行的程序很簡單,本文就給你一個詳細的解答。
一、對于啟動進程的EXE病毒的查殺
1、在進程中可以發現的單進程EXE病毒或木馬程序,如:svch0st.exe,有些殺毒軟件可以發現且可以停掉進程,殺掉病毒;有些殺毒軟件會報警提示用戶或形成日志,需要用戶作進一步判斷后,再手工停掉相應進程,殺掉病毒。
2、在進程中可以發現的雙進程EXE病毒或木馬程序,由于手工方式不能同時停掉兩個進程,當我們手工掉其中一個進程后,另一個進程會將該進程重新啟動。針對這種情況殺毒軟件也無能為力,若兩個都是非系統進程,我們可以通過“任務管理器/進程/結束進程樹”的方式停掉該進程,殺掉病毒;也可以用工具IceSword中“文件/設置/禁止進線程創建”,來停掉其中一個進程,再停掉另一個進程,殺掉病毒。
3、對于像被“熊貓燒香”感染的EXE文件,上述兩種手工處理無效,因為無法手工清除受病毒感染的文件中的病毒,這時只能向殺毒軟件廠商提供病毒樣本,等待殺毒軟件升級后再進行處理,或重新安裝操作系統。
二、 對于采用進程插入技術,隱藏了進程DLL病毒的查殺
目前的一些高級病毒或木馬程序,采用進程插入技術,隱藏了進程,將其DLL動態鏈接庫文件插入現有的系統進程中,常見的插入explorer.exe和winlogon.exe中,目前殺毒軟件針對這種動態鏈接庫的病毒查殺,效果都不理想,有時殺毒軟件甚至會出現誤判,如“賽門鐵克誤殺系統兩個關鍵動態鏈接庫文件”事件。
對于插入explorer.exe中DLL文件,大部分可以利用工具IceSword中“模塊/卸除”,將DLL文件卸載,然后手工刪除DLL病毒文件。
對于插入winlogon.exe中DLL文件,少數可以利用工具IceSword中“模塊/卸除”,將DLL文件卸載,然后手工刪除DLL病毒文件;大部分是不可以“卸除”的,
對于上述兩種不可以“卸除”的情況,需要在安全模式下,手工刪除DLL病毒文件。
另外,目前還有些病毒或木馬程序有時還會感染U盤,在U盤產生Autorun.inf和相應的EXE文件。
