首先,杀死启动该过程的EXE病毒
1.在进程中可以发现的单进程EXE病毒或木马程序,如svch0st.exe,一些杀毒软件可以发现并停止进程,查杀病毒;有些杀毒软件会对用户进行警示或者形成日志,在用户需要进一步判断后,
然后手动停止相应进程,查杀病毒。
2.对于进程中可以发现的双进程EXE病毒或木马,由于手动方法无法同时停止两个进程,所以当我们手动杀死一个进程时,另一个进程就会重新启动它。针对这种情况,杀毒软件无能为力。如果两者都是非系统进程,
我们可以通过‘任务管理器/进程/结束进程树’来停止进程,查杀病毒。你也可以使用IceSword中的工具‘文件/设置/不创建线程’来停止一个进程,然后停止另一个进程来杀毒。
3.对于被‘熊猫烧香’感染的EXE文件,上述两种手动处理都是无效的,因为无法手动清除感染文件中的病毒。这时候只能提供病毒样本给杀毒软件厂商,等待杀毒软件升级后再处理,或者重装操作系统。
第二,对于进程插入技术,隐藏了进程DLL病毒。
目前,一些先进的病毒或木马程序利用进程插入技术隐藏进程,将其DLL动态链接库文件插入到现有的xp系统进程中,常见于explorer.exe和winlogon.exe。
目前杀毒软件对这种动态链接库的病毒查杀效果并不明显,有时甚至会出现误判,比如‘赛门铁克误杀两个关键动态链接库文件’事件。
对于插入explorer.exe的DLL文件,可以使用工具IceSword中的' module/uninstall '卸载大部分DLL文件,然后手动删除DLL病毒文件。
对于插入winlogon.exe的DLL文件,少数可以通过使用IceSword工具中的' Module/Uninstall '来卸载DLL文件,然后手动删除DLL病毒文件。它们中的大多数不能被“拆卸”,
系统下载提醒对于以上两种无法‘卸载’的情况,需要在安全模式下手动删除DLL病毒文件。
另外,目前一些病毒或木马程序有时会感染u盘,在u盘上生成Autorun.inf和相应的EXE文件。
除了IceSword软件,我们还可以使用诺顿进程查看器(Norton Process Viewer)这款诺顿任务管理器来查杀木马和病毒。
