相信大家对Dll木马都非常熟悉了。它确实是非常招人恨家伙。不像普通exe木马便于识别和清理,这家伙隐蔽性非常强,它可以嵌入一些如rundll32.exe,svchost.exe等正常的进程中去,让你找不到,即使找到了也难以清除,因为正常的进程正在调用它嘛。
我用的是McAfee的杀毒软件,比如说它现在报告:
defds.dll:C:\...\Temp\defds.dll删除失败
fdgeg.com:C:\Windows\ime\fdgeg.com删除失败 |
那么可以知道defds.dll应该是个dll木马。我们可以通过冰刃icesword来查看系统的进程,找到调用该dll文件的进程,比如说是notepad.exe。我们可以先尝试着终止该进程,该进程如果终止后过不了多久又重新运行(而我并没有运行记事本),那么我们可以判定fdgeg.com就是notepad.exe的的守护进程。当它发现它所监视的notepad.exe进程被终止后会立刻将notepad.exe重新启用。
现在我们可以:我的电脑—>工具—>文件夹选项—>查看,在高级设置的选项下去掉“简单文件共享”的钩子(我的电脑是XP操作系统,NTFS磁盘格式)。
然后到C:\Windo0ws\ime下找到fdgeg.com,右键选择属性,在属性中选择“安全”,单击“高级”,在弹出的窗口中使“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”不被选中,再在弹出的窗口中单击“删除”,再依次单击“确定”。这样就没有任何用户可以使fdgeg.com工作了。
通过icesword终止notepad.exe。然后到C:\Documents and Settings\Administrator\Local Settings\ Temp中删除defds.dll。然后到C:\Windows\ime中再找到fdgeg.com,右键属性,在属性中选择“安全”,单击“高级”,在弹出的窗口中选中“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”,然后删除它即可。
最后别忘了在注册表的启动项中将这个dll木马删除。
这样,我们就彻底将这个讨厌的dll木马从我们的电脑中清除了。
