一、对启动过程中的EXE病毒进行查杀
1.单进程EXE病毒或木马可以在进程中发现,如svch0st.exe。有些杀毒软件可以发现并停止进程,杀死病毒;有些杀毒软件会向用户报警或者形成日志,需要用户进一步判断,然后手动停止相应的进程来查杀病毒。
2.在进程中可以发现两个进程的EXE病毒或木马。因为不能手动停止两个进程,所以当我们手动删除一个进程时,另一个进程将重新启动它。针对这种情况,杀毒软件也无能为力。如果两者都是非系统进程,我们可以通过‘任务管理器/进程/结束进程树’的方式停止进程,查杀病毒;也可以使用IceSword中的工具‘文件/设置/禁止线程创建’来停止其中一个进程,然后停止另一个进程来杀毒。
3.对于像被‘熊猫烧香’感染的EXE文件,上述两种手动处理都是无效的,因为无法手动清除被感染文件中的病毒。此时只能向杀毒软件厂商提供病毒样本,等待杀毒软件升级后再处理,或者重装操作系统。
第二,进程插入技术隐藏了进程DLL病毒的查杀。
目前,一些高级病毒或木马利用进程插入技术隐藏进程,将其DLL动态链接库文件插入到现有的xp系统进程中,常见于explorer.exe和winlogon.exe。目前杀毒软件对这种动态链接库的病毒查杀效果并不好,有时杀毒软件甚至会出现误判,比如‘赛门铁克误杀系统中两个关键动态链接库文件’的事件。
对于插入explorer.exe的dll文件,可以使用工具IceSword' module/uninstall '卸载大部分DLL文件,然后手动删除DLL病毒文件。
对于插入到winlogon.exe中的DLL文件;少数可以使用IceSword的“模块/卸载”工具卸载DLL文件;然后手动删除DLL病毒文件。大部分都不能去掉,
下载提醒对于以上两种无法‘卸载’的情况,需要在安全模式下手动删除DLL病毒文件。
另外,目前一些病毒或木马程序有时会感染u盘,u盘中会生成Autorun.inf和相应的EXE文件。
除了IceSword软件,我们还可以使用诺顿进程查看器、诺顿任务管理器来查杀木马和病毒。