DLL是系统中一种比较特殊的的文件类型,用于病毒木马的制作可以达到无进程,不可删除,启动方式多样,隐蔽性高等优点
很多时候我们是通过杀毒软件的提示知道感染了木马病毒
比如杀毒软件对“BackDoorDll.dll”文件进行报警,
该文章转自新手无毒:www.killdu.cn
但这里不论是选择删除或是手工删除都始终提示出错,
之所以无法删除可恶的DLL文件,是因为它依附到了其它进程之中,而这些进程的存在也使得DLL病毒正处于运行之中,所以要想删除它必须先把被病毒依附的进程结束停止了,那如何才能做到呢?
下面教大家两个简单快速的方法:
一,赤手空拳:
这里我们不需要下载任何工具,只要用WINDOWS自带的小助手即可。首先点击开始菜单,选择“运行”,输入“CMD”,在打开的CMD窗口中输入命令“tasklist /m BackDoorDll.dll”效果如图:
这条命令是意思是检测指定名字的文件被哪些进程所调用,从结果可以看出原来DLL病毒文件插入到了进程iexplore.exe 中,此进程ID为3240,那我们现在关闭改进程,
用命令taskkill /f /PID 3240,它的意思是强行终止ID号为3240的进程
当然也可以用任务管理器结束。
好啦,结束了该进程,病毒BackDoorDll.dll没了依靠,就可以直接去删除它了。
这也只是简单的处理方法,如果BackDoorDll.dll病毒依附到多个进程中只要一个一个进程的结束就可以了,不过这样也会有个小麻烦,就是万一病毒程序随时监控各个进程,一旦发现某个进程被结束就立刻再次插入或被插入的是系统必需进程,无法被结束或会引起系统崩溃怎么办呢?别担心,我们继续请出WINDOWS自带的助手,就是利用NTFS分区格式的文件限制功能,可以设置某个文件是否可以被程序调用访问等。通过这个功能,我们一样可以阻止病毒DLL文件被调用,从而彻底地清除DLL病毒。
双击打开“我的电脑”,点击菜单命令“工具”→“文件夹选项”→“查看”,在高级设置的选项卡下去掉“简单文件共享”的选择。
然后找到无法删除的DLL文件,右击它,在弹出的菜单中选择“属性”--“安全”,再单击“高级”按钮,在弹出的窗口中去掉“从父项继承那些可以应用的到子对象的权限项目,包括那些在此明确定义的项目”前面的钩。再在弹出的窗口中单击“删除”
最后单击“确定”。效果如图:
这样就没有任何用户和文件可以访问和调用这个DLL木马文件了。重新启动系统就可以删除该DLL文件了。
该方法虽好但也有个条件,就是病毒所在的磁盘分区必须得是NTFS格式的,如果不是那还得转换吗?岂不是太繁琐了。如果用户不想那么慢的话,就可以尝试下工具配合了
二,宝剑出鞘
这里我们使用著名的安全工具--冰刃,下载地址:http://www.killdu.cn/gongju/28.html
打开后选择“进程”,在任意一进程上右击,选择最后一项“查找模块”
在弹的的搜索框中输入已经知道的病毒文件名然后点击最下面的搜索即可查看到结果,如图:
这里不仅列举了所有被该病毒插入的进程,还会显示出进程中该DLL病毒所在位置及被插入进程的文件位置,可以防止病毒伪装成系统中正常的DLL文件名字,由于我这里的病毒只插入到一个进程中,所以只显示出一条,可以看到它依附到了IE流览器进程之中
于是我们在冰刃中找到IE的进程并右击,选择“模块信息”,在弹出框中找到BackDoorDll.dll这条,再点击右边的“卸载”或“强行卸载”按钮。
最后再用tasklist /m BackDoorDll.dll命令复查一下,
系统中已经没有BackDoorDll.dll文件的运行了,这样我们就可以放心顺利的删除这个顽固的病毒啦
如果想再简单点的,可以下载本站的小工具,地址:http://www.killdu.cn/gongju/1869.html
使用方法:在命令行下输入:UnloadDll.exe "DLL文件名和路径",(注意DLL名上加引号),之所以是输入DLL文件名和路径,主要怕病毒文件伪装成系统必须DLL名字,但位置却在其他文件夹里,所以为了精确驱除必须要输入完整路径及名字
输入完毕后回车即可驱除成功,然后可以直接去文件夹里删除了
原文链接:http://www.killdu.cn/zhishi/1899.html
[ 本帖最后由 真诚走天涯 于 2008-12-27 12:22 编辑 ] |
发表于 2008-12-27 12:21:28
发表于 2008-12-27 15:45:29
楼主
