DLL文件是Windows系統(tǒng)中一種比較特殊的二進(jìn)制文件，不少病毒、木馬生成的DLL文件具有無進(jìn)程、不可刪除、啟動(dòng)方式多樣、隱蔽性高等特點(diǎn)。很多時(shí)候我們是通過殺毒軟件的提示知道某個(gè)DLL文件感染了病毒，但不論是在殺毒軟件中選擇刪除該文件還是手工刪除該文件都始終提示出錯(cuò)。

[[113744]]

我們之所以無法刪除可惡的DLL文件，是因?yàn)樗栏降搅似渌M(jìn)程之中，而這些進(jìn)程的存在也使得DLL病毒正處于運(yùn)行之中，所以要想刪除它必須先把被病毒依附的進(jìn)程結(jié)束了才行，那如何才能做到呢?下面教大家兩個(gè)簡(jiǎn)單快速的方法。

一、手工刪除

這里我們不需要下載任何工具，只要用Windows自帶的小助手即可。首先打開命令提示符窗口，輸入命令“tasklist /m BackDoorDll.dll”，效果如圖2。

這條命令意思是檢測(cè)指定名字的文件被哪些進(jìn)程所調(diào)用，從結(jié)果可以看出原來DLL病毒文件插入到了進(jìn)程iexplore.exe 中，此進(jìn)程ID為3240，那我們現(xiàn)在關(guān)閉該進(jìn)程，用命令“taskkill /f /PID 3240”，它的意思是強(qiáng)行終止ID號(hào)為3240的進(jìn)程。當(dāng)然，我們也可以用任務(wù)管理器結(jié)束該進(jìn)程。

結(jié)束了該進(jìn)程，BackDoorDll.dll沒了依靠，就可以去直接刪除它了。

這只是簡(jiǎn)單的處理方法，如果BackDoorDll.dll插入到多個(gè)進(jìn)程中，就要一個(gè)一個(gè)地結(jié)束這些進(jìn)程。還有，如果病毒程序隨時(shí)監(jiān)控各個(gè)進(jìn)程，一旦發(fā)現(xiàn)某個(gè)進(jìn)程被結(jié)束就立刻再次啟動(dòng)該進(jìn)程或被插入的是系統(tǒng)必需進(jìn)程，無法被結(jié)束，這怎么辦呢?

別擔(dān)心，我們繼續(xù)請(qǐng)出Windows自帶的助手，就是利用NTFS分區(qū)格式的文件限制功能，設(shè)置某個(gè)文件是否可以被程序調(diào)用、訪問。通過這個(gè)功能，我們一樣可以阻止病毒DLL文件被調(diào)用，從而徹底地清除頑固的DLL文件。使用文件限制功能的必要條件是必須禁用簡(jiǎn)單文件共享。

雙擊打開“我的電腦”，點(diǎn)擊菜單命令“工具”→“文件夾選項(xiàng)”→“查看”，在高級(jí)設(shè)置的選項(xiàng)卡下去掉“簡(jiǎn)單文件共享”的選擇。

然后找到無法刪除的DLL文件，右擊它，在彈出的菜單中選擇“屬性”→“安全”，再單擊“高級(jí)”按鈕，在彈出的窗口中去掉“從父項(xiàng)繼承那些可以應(yīng)用的到子對(duì)象的權(quán)限項(xiàng)目，包括那些在此明確定義的項(xiàng)目”前面的鉤,再在彈出的窗口中單擊“刪除”,最后單擊“確定”。

這樣就沒有任何用戶和文件可以訪問和調(diào)用這個(gè)DLL文件了。重新啟動(dòng)系統(tǒng)就可以刪除該DLL文件了。

該方法雖好但也有個(gè)條件，就是頑固的DLL文件所在的磁盤分區(qū)必須是NTFS格式的。

二、使用工具軟件

這里我們使用著名的安全工具——冰刃，下載地址：http://www.mydown.com/soft/utilitie/antivirus/344/441344.shtml 。

運(yùn)行軟件后選擇“進(jìn)程”，在任意一個(gè)進(jìn)程上右擊，選擇最后一項(xiàng)“查找模塊”。在彈出的搜索框中輸入已經(jīng)知道的DLL文件名,然后點(diǎn)擊最下面的“搜索”即可查看到結(jié)果。

這里不僅列舉了所有被該病毒插入的進(jìn)程，還會(huì)顯示出進(jìn)程中該DLL文件所在的位置及被插入進(jìn)程的文件位置，可以防止病毒偽裝成系統(tǒng)中正常的DLL文件名字。本例中，BackDoorDll.dll依附到了IE瀏覽器進(jìn)程之中，于是我們?cè)诒兄姓业絀E的進(jìn)程并右擊，選擇“模塊信息”，在彈出框中找到BackDoorDll.dll這項(xiàng)，再點(diǎn)擊右邊的“卸載”或“強(qiáng)行卸載”按鈕。

最后再用tasklist /m BackDoorDll.dll命令復(fù)查一下，系統(tǒng)中已經(jīng)沒有BackDoor

Dll.dll文件的進(jìn)程了。這樣，我們就可以直接刪除這個(gè)頑固的DLL文件了。

如何清除正在運(yùn)行的EXE、DLL病毒清除病毒的時(shí)候，有沒有遇到過某某程序正在運(yùn)行，無法清除的提示呢?其實(shí)要清除這些正在運(yùn)行的程序很簡(jiǎn)單，本文就給你一個(gè)詳細(xì)的解答。

一、對(duì)于啟動(dòng)進(jìn)程的EXE病毒的查殺

1、在進(jìn)程中可以發(fā)現(xiàn)的單進(jìn)程EXE病毒或木馬程序，如：svch0st.exe，有些殺毒軟件可以發(fā)現(xiàn)且可以停掉進(jìn)程，殺掉病毒;有些殺毒軟件會(huì)報(bào)警提示用戶或形成日志，需要用戶作進(jìn)一步判斷后，再手工停掉相應(yīng)進(jìn)程，殺掉病毒。

2、在進(jìn)程中可以發(fā)現(xiàn)的雙進(jìn)程EXE病毒或木馬程序，由于手工方式不能同時(shí)停掉兩個(gè)進(jìn)程，當(dāng)我們手工掉其中一個(gè)進(jìn)程后，另一個(gè)進(jìn)程會(huì)將該進(jìn)程重新啟動(dòng)。針對(duì)這種情況殺毒軟件也無能為力，若兩個(gè)都是非系統(tǒng)進(jìn)程，我們可以通過“任務(wù)管理器/進(jìn)程/結(jié)束進(jìn)程樹”的方式停掉該進(jìn)程，殺掉病毒;也可以用工具IceSword中“文件/設(shè)置/禁止進(jìn)線程創(chuàng)建”，來停掉其中一個(gè)進(jìn)程，再停掉另一個(gè)進(jìn)程，殺掉病毒。

3、對(duì)于像被“熊貓燒香”感染的EXE文件，上述兩種手工處理無效，因?yàn)闊o法手工清除受病毒感染的文件中的病毒，這時(shí)只能向殺毒軟件廠商提供病毒樣本，等待殺毒軟件升級(jí)后再進(jìn)行處理，或重新安裝操作系統(tǒng)。

二、 對(duì)于采用進(jìn)程插入技術(shù)，隱藏了進(jìn)程DLL病毒的查殺

目前的一些高級(jí)病毒或木馬程序，采用進(jìn)程插入技術(shù)，隱藏了進(jìn)程，將其DLL動(dòng)態(tài)鏈接庫文件插入現(xiàn)有的系統(tǒng)進(jìn)程中，常見的插入explorer.exe和winlogon.exe中，目前殺毒軟件針對(duì)這種動(dòng)態(tài)鏈接庫的病毒查殺，效果都不理想，有時(shí)殺毒軟件甚至?xí)霈F(xiàn)誤判，如“賽門鐵克誤殺系統(tǒng)兩個(gè)關(guān)鍵動(dòng)態(tài)鏈接庫文件”事件。

對(duì)于插入explorer.exe中DLL文件，大部分可以利用工具IceSword中“模塊/卸除”,將DLL文件卸載，然后手工刪除DLL病毒文件。

對(duì)于插入winlogon.exe中DLL文件，少數(shù)可以利用工具IceSword中“模塊/卸除”,將DLL文件卸載，然后手工刪除DLL病毒文件;大部分是不可以“卸除”的，

對(duì)于上述兩種不可以“卸除”的情況，需要在安全模式下，手工刪除DLL病毒文件。

另外，目前還有些病毒或木馬程序有時(shí)還會(huì)感染U盤，在U盤產(chǎn)生Autorun.inf和相應(yīng)的EXE文件。