移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

两种方法删除感染病毒的顽固DLL文件

时间:2014-06-04 13:22来源:TuZhiJiaMi企业信息安全专家 点击:
DLL文件是Windows系统中一种比较特殊的二进制文件,不少病毒、木马生成的DLL文件具有无进程、不可删除、启动方式多样、隐蔽性高等特点。很多时候我们是通过杀毒软件的提示知道某个DLL文件
Tags病毒(102)应用安全(1006)dll文件(2)  

  DLL文件是Windows系统中一种比较特殊的二进制文件,不少病毒、木马生成的DLL文件具有无进程、不可删除、启动方式多样、隐蔽性高等特点。很多时候我们是通过杀毒软件的提示知道某个DLL文件感染了病毒,但不论是在杀毒软件中选择删除该文件还是手工删除该文件都始终提示出错。

两种方法删除感染病毒的顽固DLL文件

  我们之所以无法删除可恶的DLL文件,是因为它依附到了其他进程之中,而这些进程的存在也使得DLL病毒正处于运行之中,所以要想删除它必须先把被病毒依附的进程结束了才行,那如何才能做到呢?下面教大家两个简单快速的方法。

  一、手工删除

  这里我们不需要下载任何工具,只要用Windows自带的小助手即可。首先打开命令提示符窗口,输入命令“tasklist /m BackDoorDll.dll”,效果如图2。

  这条命令意思是检测指定名字的文件被哪些进程所调用,从结果可以看出原来DLL病毒文件插入到了进程iexplore.exe 中,此进程ID为3240,那我们现在关闭该进程,用命令“taskkill /f /PID 3240”,它的意思是强行终止ID号为3240的进程。当然,我们也可以用任务管理器结束该进程。

  结束了该进程,BackDoorDll.dll没了依靠,就可以去直接删除它了。

  这只是简单的处理方法,如果BackDoorDll.dll插入到多个进程中,就要一个一个地结束这些进程。还有,如果病毒程序随时监控各个进程,一旦发现某个进程被结束就立刻再次启动该进程或被插入的是系统必需进程,无法被结束,这怎么办呢?

  别担心,我们继续请出Windows自带的助手,就是利用NTFS分区格式的文件限制功能,设置某个文件是否可以被程序调用、访问。通过这个功能,我们一样可以阻止病毒DLL文件被调用,从而彻底地清除顽固的DLL文件。使用文件限制功能的必要条件是必须禁用简单文件共享。

  双击打开“我的电脑”,点击菜单命令“工具”→“文件夹选项”→“查看”,在高级设置的选项卡下去掉“简单文件共享”的选择。

  然后找到无法删除的DLL文件,右击它,在弹出的菜单中选择“属性”→“安全”,再单击“高级”按钮,在弹出的窗口中去掉“从父项继承那些可以应用的到子对象的权限项目,包括那些在此明确定义的项目”前面的钩,再在弹出的窗口中单击“删除”,最后单击“确定”。

  这样就没有任何用户和文件可以访问和调用这个DLL文件了。重新启动系统就可以删除该DLL文件了。

  该方法虽好但也有个条件,就是顽固的DLL文件所在的磁盘分区必须是NTFS格式的。

  二、使用工具软件

  这里我们使用著名的安全工具——冰刃,下载地址:http://www.mydown.com/soft/utilitie/antivirus/344/441344.shtml 。

  运行软件后选择“进程”,在任意一个进程上右击,选择最后一项“查找模块”。在弹出的搜索框中输入已经知道的DLL文件名,然后点击最下面的“搜索”即可查看到结果。

  这里不仅列举了所有被该病毒插入的进程,还会显示出进程中该DLL文件所在的位置及被插入进程的文件位置,可以防止病毒伪装成系统中正常的DLL文件名字。本例中,BackDoorDll.dll依附到了IE浏览器进程之中,于是我们在冰刃中找到IE的进程并右击,选择“模块信息”,在弹出框中找到BackDoorDll.dll这项,再点击右边的“卸载”或“强行卸载”按钮。

  最后再用tasklist /m BackDoorDll.dll命令复查一下,系统中已经没有BackDoor

  Dll.dll文件的进程了。这样,我们就可以直接删除这个顽固的DLL文件了。

  如何清除正在运行的EXE、DLL病毒清除病毒的时候,有没有遇到过某某程序正在运行,无法清除的提示呢?其实要清除这些正在运行的程序很简单,本文就给你一个详细的解答。

  一、对于启动进程的EXE病毒的查杀

  1、在进程中可以发现的单进程EXE病毒或木马程序,如:svch0st.exe,有些杀毒软件可以发现且可以停掉进程,杀掉病毒;有些杀毒软件会报警提示用户或形成日志,需要用户作进一步判断后,再手工停掉相应进程,杀掉病毒。

  2、在进程中可以发现的双进程EXE病毒或木马程序,由于手工方式不能同时停掉两个进程,当我们手工掉其中一个进程后,另一个进程会将该进程重新启动。针对这种情况杀毒软件也无能为力,若两个都是非系统进程,我们可以通过“任务管理器/进程/结束进程树”的方式停掉该进程,杀掉病毒;也可以用工具IceSword中“文件/设置/禁止进线程创建”,来停掉其中一个进程,再停掉另一个进程,杀掉病毒。

  3、对于像被“熊猫烧香”感染的EXE文件,上述两种手工处理无效,因为无法手工清除受病毒感染的文件中的病毒,这时只能向杀毒软件厂商提供病毒样本,等待杀毒软件升级后再进行处理,或重新安装操作系统。

  二、 对于采用进程插入技术,隐藏了进程DLL病毒的查杀

  目前的一些高级病毒或木马程序,采用进程插入技术,隐藏了进程,将其DLL动态链接库文件插入现有的系统进程中,常见的插入explorer.exe和winlogon.exe中,目前杀毒软件针对这种动态链接库的病毒查杀,效果都不理想,有时杀毒软件甚至会出现误判,如“赛门铁克误杀系统两个关键动态链接库文件”事件。

  对于插入explorer.exe中DLL文件,大部分可以利用工具IceSword中“模块/卸除”,将DLL文件卸载,然后手工删除DLL病毒文件。

  对于插入winlogon.exe中DLL文件,少数可以利用工具IceSword中“模块/卸除”,将DLL文件卸载,然后手工删除DLL病毒文件;大部分是不可以“卸除”的,

  对于上述两种不可以“卸除”的情况,需要在安全模式下,手工删除DLL病毒文件。

  另外,目前还有些病毒或木马程序有时还会感染U盘,在U盘产生Autorun.inf和相应的EXE文件。

------分隔线----------------------------

推荐内容