1、 對于采用進程插入技術,隱藏了進程DLL病毒的查殺
目前的一些高級病毒或木馬程序,采用進程插入技術,隱藏了進程,將其DLL動態鏈接庫文件插入現有的系統進程中,常見的插入explorer.exe和winlogon.exe中,目前殺毒軟件針對這種動態鏈接庫的病毒查殺,效果都不理想,有時殺毒軟件甚至會出現誤判,如"賽門鐵克誤殺系統兩個關鍵動態鏈接庫文件"事件。
對于插入explorer.exe中DLL文件,大部分可以利用工具IceSword中"模塊/卸除",將DLL文件卸載,然后手工刪除DLL病毒文件。
對于插入winlogon.exe中DLL文件,少數可以利用工具IceSword中"模塊/卸除",將DLL文件卸載,然后手工刪除DLL病毒文件;大部分是不可以"卸除"的,
對于上述兩種不可以"卸除"的情況,需要在安全模式下,手工刪除DLL病毒文件。
另外,目前還有些病毒或木馬程序有時還會感染U盤,在U盤產生Autorun.inf和相應的EXE文件。
2、對于啟動進程的EXE病毒的查殺
1、在進程中可以發現的單進程EXE病毒或木馬程序,如:svch0st.exe,有些殺毒軟件可以發現且可以停掉進程,殺掉病毒;有些殺毒軟件會報警提示用戶或形成日志,需要用戶作進一步判斷后,再手工停掉相應進程,殺掉病毒。
2、在進程中可以發現的雙進程EXE病毒或木馬程序,由于手工方式不能同時停掉兩個進程,當我們手工掉其中一個進程后,另一個進程會將該進程重新啟動。針對這種情況殺毒軟件也無能為力,若兩個都是非系統進程,我們可以通過"任務管理器/進程/結束進程樹"的方式停掉該進程,殺掉病毒;也可以用工具IceSword(冰刃)中"文件/設置/禁止進線程創建",來停掉其中一個進程,再停掉另一個進程,殺掉病毒。
3、對于像被"熊貓燒香"感染的EXE文件,上述兩種手工處理無效,因為無法手工清除受病毒感染的文件中的病毒,這時只能向殺毒軟件廠商提供病毒樣本,等待殺毒軟件升級后再進行處理,或重新安裝操作系統。.
目前的一些高級病毒或木馬程序,采用進程插入技術,隱藏了進程,將其DLL動態鏈接庫文件插入現有的系統進程中,常見的插入explorer.exe和winlogon.exe中,目前殺毒軟件針對這種動態鏈接庫的病毒查殺,效果都不理想,有時殺毒軟件甚至會出現誤判,如"賽門鐵克誤殺系統兩個關鍵動態鏈接庫文件"事件。
對于插入explorer.exe中DLL文件,大部分可以利用工具IceSword中"模塊/卸除",將DLL文件卸載,然后手工刪除DLL病毒文件。
對于插入winlogon.exe中DLL文件,少數可以利用工具IceSword中"模塊/卸除",將DLL文件卸載,然后手工刪除DLL病毒文件;大部分是不可以"卸除"的,
對于上述兩種不可以"卸除"的情況,需要在安全模式下,手工刪除DLL病毒文件。
另外,目前還有些病毒或木馬程序有時還會感染U盤,在U盤產生Autorun.inf和相應的EXE文件。
2、對于啟動進程的EXE病毒的查殺
1、在進程中可以發現的單進程EXE病毒或木馬程序,如:svch0st.exe,有些殺毒軟件可以發現且可以停掉進程,殺掉病毒;有些殺毒軟件會報警提示用戶或形成日志,需要用戶作進一步判斷后,再手工停掉相應進程,殺掉病毒。
2、在進程中可以發現的雙進程EXE病毒或木馬程序,由于手工方式不能同時停掉兩個進程,當我們手工掉其中一個進程后,另一個進程會將該進程重新啟動。針對這種情況殺毒軟件也無能為力,若兩個都是非系統進程,我們可以通過"任務管理器/進程/結束進程樹"的方式停掉該進程,殺掉病毒;也可以用工具IceSword(冰刃)中"文件/設置/禁止進線程創建",來停掉其中一個進程,再停掉另一個進程,殺掉病毒。
3、對于像被"熊貓燒香"感染的EXE文件,上述兩種手工處理無效,因為無法手工清除受病毒感染的文件中的病毒,這時只能向殺毒軟件廠商提供病毒樣本,等待殺毒軟件升級后再進行處理,或重新安裝操作系統。.
上一篇:如何清除盜號木馬
下一篇:成就殺毒高手的五大必學絕招
