DLL注入型病毒怎么查找和清除?
发布网友
发布时间:2022-04-24 02:08
共2个回答
热心网友
时间:2022-04-28 03:52
DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真可谓一箭双雕哉。
病毒主体文件为: kvmxema.dll
卡巴斯基无法检测是何种病毒,只警告有病毒行为,频繁弹出几个宿主EXE的警告,点"添加到信任区域"看了一下,都是在试图调用同一个文件 : 位于system32下的kvmxema.dll 好了,基本确定这个就是病毒文件,由几个常规进程调用触发(包括Explorer.exe,任务管理器taskmgr.exe .. 这意味着你开机看到桌面以后这个病毒就已经在运行了,你打开任务管理器时同样也会调用这个病毒)
尝试删除病毒kvmxema.dll文件,正被使用无法删除 失败
尝试终止这几个调用病毒DLL的进程,然后删除病毒DLL文件.发现DLL由EXPLORER.EXE调用(终止EXPLORER.EXE后也就无法再进入EXPLORER.EXE进行删除文件操作..这是个悖论哦 :-P)
尝试修改注册表取消掉关联,在注册表中搜索 kvmxema.dll 发现删除相关键值后马上被还原 失败.
尝试进入安全模式下删除,进入时病毒已被调用(EXPLORER.EXE嘛) 失败
那么就只能进DOS操作系统删除了,Win5.0以后不再支持DOS了(不是命令行CMD),手边又没有启动盘,上网搜了下,下载了"矮人工具箱",可以从硬盘启动DOS,下载,安装,重启进入DOS模式
一路CD,进入SYSTEM32,执行"DEL kvmxema.dll" 报错"文件未找到" ,忽然想起来那个DLL是隐藏状态的(够狠),于是"cd .."回到上一层,执行"attrib system32\kvmxema.dll -h" 修改文件属性,成功.注意不要在SYSTEM32下执行ATTRIB(目录下有个同名程序不能在当前DOS下运行),再DEL一下,成功
重启进XP,卡巴终于安静了,再进注册表,搜索删除掉垃圾,然后搜索一下最近修改的EXE,找到几个从后门进来的EXE,删除
总结一下:
·注意打好操作系统和浏览器的补丁,像我这样从不打补丁的就要整天忙着删病毒
·准备一套的进程管理器和文件管理器,当Explorer和taskmgr瘫痪时就要指望它们了
·安装一个GHOST,备份一下系统,要知道其实最好的杀毒办法就是还原系统
热心网友
时间:2022-04-28 05:10
伟批,这啥啊?
