DLL文件是Windows系统中一种比较特殊的二进制文件,不少病毒、木马生成的DLL文件具有无进程、不可删除、启动方式多样、隐蔽性高等特点。很多时候我们是通过杀毒软件的提示知道某个DLL文件感染了病毒,但不论是在杀毒软件中选择删除该文件还是手工删除该文件都始终提示出错(图1)。
我们之所以无法删除可恶的DLL文件,是因为它依附到了其他进程之中,而这些进程的存在也使得DLL病毒正处于运行之中,所以要想删除它必须先把被病毒依附的进程结束了才行,那如何才能做到呢?下面教大家两个简单快速的方法。
一、手工删除
这里我们不需要下载任何工具,只要用Windows自带的小助手即可。首先打开命令提示符窗口,输入命令“tasklist /m BackDoorDll.dll”,效果如图2。
这条命令意思是检测指定名字的文件被哪些进程所调用,从结果可以看出原来DLL病毒文件插入到了进程iexplore.exe 中,此进程ID为3240,那我们现在关闭该进程,用命令“taskkill /f /PID 3240”,它的意思是强行终止ID号为3240的进程(图3)。当然,我们也可以用任务管理器结束该进程。
结束了该进程,BackDoorDll.dll没了依靠,就可以去直接删除它了。
这只是简单的处理方法,如果BackDoorDll.dll插入到多个进程中,就要一个一个地结束这些进程。还有,如果病毒程序随时监控各个进程,一旦发现某个进程被结束就立刻再次启动该进程或被插入的是系统必需进程,无法被结束,这怎么办呢?
别担心,我们继续请出Windows自带的助手,就是利用NTFS分区格式的文件限制功能,设置某个文件是否可以被程序调用、访问。通过这个功能,我们一样可以阻止病毒DLL文件被调用,从而彻底地清除顽固的DLL文件。使用文件限制功能的必要条件是必须禁用简单文件共享。
双击打开“我的电脑”,点击菜单命令“工具”→“文件夹选项”→“查看”,在高级设置的选项卡下去掉“简单文件共享”的选择。
然后找到无法删除的DLL文件,右击它,在弹出的菜单中选择“属性”→“安全”,再单击“高级”按钮,在弹出的窗口中去掉“从父项继承那些可以应用的到子对象的权限项目,包括那些在此明确定义的项目”前面的钩,再在弹出的窗口中单击“删除”,最后单击“确定”。
这样就没有任何用户和文件可以访问和调用这个DLL文件了。重新启动系统就可以删除该DLL文件了。
该方法虽好但也有个条件,就是顽固的DLL文件所在的磁盘分区必须是NTFS格式的。
二、使用工具软件
这里我们使用著名的安全工具——冰刃,下载地址:http://www.mydown.com/soft/utilitie/antivirus/344/441344.shtml 。
运行软件后选择“进程”,在任意一个进程上右击,选择最后一项“查找模块”。在弹出的搜索框中输入已经知道的DLL文件名,然后点击最下面的“搜索”即可查看到结果。
这里不仅列举了所有被该病毒插入的进程,还会显示出进程中该DLL文件所在的位置及被插入进程的文件位置,可以防止病毒伪装成系统中正常的DLL文件名字。本例中,BackDoorDll.dll依附到了IE浏览器进程之中,于是我们在冰刃中找到IE的进程并右击,选择“模块信息”,在弹出框中找到BackDoorDll.dll这项,再点击右边的“卸载”或“强行卸载”按钮。
最后再用tasklist /m BackDoorDll.dll命令复查一下,系统中已经没有BackDoor
Dll.dll文件的进程了。这样,我们就可以直接删除这个顽固的DLL文件了。
