|
|
一、对于启动进程的EXE病毒的查杀
1、在进程中可以发现的单进程EXE病毒或木马程序,如:svch0st.exe,有些杀毒软件可以发现且可以停掉进程,杀掉病毒;有些杀毒软件会报警提示用户或形成日志,需要用户作进一步判断后,再手工停掉相应进程,杀掉病毒。
2、在进程中可以发现的双进程EXE病毒或木马程序,由于手工方式不能同时停掉两个进程,当我们手工掉其中一个进程后,另一个进程会将该进程重新启动。针对这种情况杀毒软件也无能为力,若两个都是非系统进程,我们可以通过"任务管理器/进程/结束进程树"的方式停掉该进程,杀掉病毒;也可以用工具IceSword中"文件/设置/禁止进线程创建",来停掉其中一个进程,再停掉另一个进程,杀掉病毒。
3、对于像被"熊猫烧香"感染的EXE文件,上述两种手工处理无效,因为无法手工清除受病毒感染的文件中的病毒,这时只能向杀毒软件厂商提供病毒样本,等待杀毒软件升级后再进行处理,或重新安装操作系统。
二、对于采用进程插入技术,隐藏了进程DLL病毒的查杀
目前的一些高级病毒或木马程序,采用进程插入技术,隐藏了进程,将其DLL动态链接库文件插入现有的系统进程中,常见的插入explorer.exe和winlogon.exe中,目前杀毒软件针对这种动态链接库的病毒查杀,效果都不理想,有时杀毒软件甚至会出现误判,如"赛门铁克误杀系统两个关键动态链接库文件"事件。
对于插入explorer.exe中DLL文件,大部分可以利用工具IceSword中"模块/卸除",将DLL文件卸载,然后手工删除DLL病毒文件。
对于插入winlogon.exe中DLL文件,少数可以利用工具IceSword中"模块/卸除",将DLL文件卸载,然后手工删除DLL病毒文件;大部分是不可以"卸除"的,
对于上述两种不可以"卸除"的情况,需要在安全模式下,手工删除DLL病毒文件。
另外,目前还有些病毒或木马程序有时还会感染U盘,在U盘产生Autorun.inf和相应的EXE文件。 |
|
雷达卡
发表于 2010-12-8 13:55
提升卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
