论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1962阅读
  • 3回复

[求助-软件问题]如何查杀运行状态下的EXE、DLL病毒? [复制链接]

上一主题 下一主题
离线ahyanglf
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-09-15 08:12:17
— 本帖被 quen2008 执行提前操作(2009-09-15) —
如今网络安全问题成为个人用户最为关注的问题,各类病毒变体也是层出不穷,这其中exe、DLL病毒尤为常见,那么这类病毒该如何查杀呢?
  一、对于启动进程的EXE病毒的查杀
  1、在进程中可以发现的单进程EXE病毒或木马程序,如:svch0st.exe,有些杀毒软件可以发现且可以停掉进程,杀掉病毒;有些杀毒软件会报警提示用户或形成日志,需要用户作进一步判断后,再手工停掉相应进程,杀掉病毒。
  2、在进程中可以发现的双进程EXE病毒或木马程序,由于手工方式不能同时停掉两个进程,当我们手工掉其中一个进程后,另一个进程会将该进程重新启动。针对这种情况杀毒软件也无能为力,若两个都是非系统进程,我们可以通过"任务管理器 /进程/结束进程树"的方式停掉该进程,杀掉病毒;也可以用工具IceSword中"文件/设置/禁止进线程创建",来停掉其中一个进程,再停掉另一个进程,杀掉病毒。
  3、对于像被"熊猫烧香"感染的EXE文件,上述两种手工处理无效,因为无法手工清除受病毒感染的文件中的病毒,这时只能向杀毒软件厂商提供病毒样本,等待杀毒软件升级后再进行处理,或重新安装操作系统。
  二、 对于采用进程插入技术,隐藏了进程DLL病毒的查杀
  目前的一些高级病毒或木马程序,采用进程插入技术,隐藏了进程,将其DLL动态链接库文件插入现有的系统进程中,常见的插入 explorer.exe和winlogon.exe中,目前杀毒软件针对这种动态链接库的病毒查杀,效果都不理想,有时杀毒软件甚至会出现误判,如"赛门铁克误杀系统两个关键动态链接库文件"事件。
  对于插入explorer.exe中DLL文件,大部分可以利用工具IceSword中"模块/卸除",将DLL文件卸载,然后手工删除DLL病毒文件。
  对于插入winlogon.exe中DLL文件,少数可以利用工具IceSword中"模块/卸除",将DLL文件卸载,然后手工删除DLL病毒文件;大部分是不可以"卸除"的,
  对于上述两种不可以"卸除"的情况,需要在安全模式下,手工删除DLL病毒文件。
  另外,目前还有些病毒或木马程序有时还会感染U盘,在U盘产生Autorun.inf和相应的EXE文件。
1条评分
quen2008 电魂 +2 闪电联盟因你而精彩! 2009-09-15
离线quen2008
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2009-09-15 08:44:54
我用的是江民纯dos查杀的
离线ahyanglf
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 板凳  发表于: 2009-09-15 09:03:26
其实pe下更好吧
离线正南方

发帖
8970
今日发帖
最后登录
2022-07-20
只看该作者 地板  发表于: 2009-09-16 05:55:00
到安全模式下查杀要好一些
黑铁 5000
综合积分=威望×1+在线时间X0.8+帖子数X0.08+信誉X0.5