昨天电脑中了病毒，十分顽固，下面我就把我在杀毒过程中的经验于大家分享一下。

随着网络游戏的兴盛，巨大的经济利益驱使着一些没有公德的电脑人用木马的方式来盗取玩家的利益，我想中过招损失惨重的人不在少数，目前的大家能见到的木马程序大都是EXE文件为主的，这类木马在任务管理器里有进程，一般稍微懂电脑的人能轻松摆平，即使不太懂也可以通过杀毒软件，木马克星查出来。而随着上网人们的防范意识加强这类带进程的木马生存空间变小，于是那帮HACHER又打起了DLL的主意。

要想了解DLL木马，首先得清楚DLL是什么。在我们的电脑里，有许多DLL文件，这些文件是程序员把很多常用的代码集合（通用代码）放进一个独立的文件里，并把这个文件称为“库”（Library），在写程序的时候，把这个库文件加入编译器，就能使用这个库包含的所有功能而不必自己再去写一大堆代码，产生了常用的静态联接和动态联接。本来这个DLL文件是个很方便的东西，可如果被写入了恶意的代码，那就成了一个冷面杀手。

闲话少说，省去一些关于WINDOWS调用DLL采用动态联接原理的介绍，简单的说就是把DLL文件当做钳子、螺丝刀等工具，你用完了就放那，然后别人用，而工具本身不动。而DLL木马的原理呢就是把一个包含木马核心的代码写入到DLL文件里，当一把匕首，等着进程去调用。DLL文件是模块，无法自动运行，所以它就依靠系统程序调用，成为那个程序的子模块，所以我在进程里无法看到木马，就算目前最新的杀毒软件也对被注入系统程序的木马DLL无济于事。而DLL木马危害很大，它能自动关闭防火墙和杀毒软件，留有后门主动联接幕后黑手，被注入的进程一般都是系统常见的启动进程，如IEXPLORE或者EXPLORER进程，更强的可以注入6到7个进程，笔者遭遇的就是CS_N60.DLL木马就注入了6个进程，都是系统一启动就开始的。

知道了DLL木马的原理，而杀毒软件也无法查处，那我们有什么办法对付呢？DLL木马也是通过一定的传播途径进入电脑的，如果你的电脑在刚启动时就主动连接网络，或者是在没有任何程序运行的时候网络流量一直增长，而杀毒软件也查不到，那就有可能被注入的DLL木马，那么我们怎么办呢？

首先要确认是什么木马在作怪，我的做法是：1.下载最新的木马克星，对内存进行检查，木马克星能扫描出进程里被注入的异常模块，对硬盘进行扫描，检查出可疑的DLL模块。2.手动检查，一般DLL文件存在于WINDOWS目录下或者其下的SYSTEM32，使用按“修改时间”方式查看，对修改时间最近的DLL文件进行检查，可以使用文件名到网上搜索，确认其是否为病毒，如果是能删除的删除，不能则表示已经注入进程了。

找到了病毒名，下面我们对进程进行清理了，这个要借助别的软件，如“天网防火墙”和ICESWORD等软件都可以对进程进行修改，在端口栏里如果就会发现有远程IP地址联接到自己的电脑，而进程却不负责任何网络任务。这个联接是本地电脑也就是自己的电脑向外网地址发送信息，所以首先应该在我的电脑→属性→高级里的两个选项全勾掉，然后在ICESWORD点击进程选择查看模块，则那个程序所调用的所有文件都能看到，在那个集合里找到刚才确认的病毒名，然后强制卸载，这样每一个运行的进程检查一遍以后，就可以删除刚才所找到的源文件了。如果EXPLORER进程也被注入，就可以结束此进程，然后在任务管理器里开启新进程里输入病毒路径找到文件删除。

后边就是善后工作了，去注册表里用用病毒名为关键词搜索，找到相关的项全部删除。

其实遇到这样棘手的病毒，最简单的还是重做系统，不过此类病毒隐藏很深，如果不能解决问题，建议全盘格式化。

本人是长白山小141级飞升小DT，这是本人昨天一天与病毒作斗争的经验，拿出来给大家分享，鉴于许多玩家防范严密还是莫名丢号，本人也对盗号贼深恶痛绝，借此发表此文，希望大家能玩得开心。

专区投稿或者其他专区事务，请联系多玩编辑夏香!!
QQ联系>>邮箱联系>>

文章页内发现代练广告请联系我