首页 > 单独文章 > 正文

删除杀毒软件杀不掉的病毒文件

时间:2008-09-18 08:39:37 作者:officeba 【认证】

    现在的流行病毒在功能不断增强的同时,更增加了自我保护的新技术,尤其是一些能和系统内核挂钩的BT病毒,即使你发现了它的存在,也不能把它怎么样,因为你无法将其删除,即使杀毒软件也只能将其隔离而不能彻底清除。难道我们就容许病毒如此猖狂?今天就让我们一起来了解一下对付这种顽固病毒的办法。

     结束病毒进程

     我们都知道正在被系统使用的文件是无法删除的,因为在删除时系统会弹出提示:“请确定磁盘未满或未被写保护,而且文件未被使用”。如果我们在删除病毒文件时出现这个提示,则表示病毒文件正在使用,这时我们可以按下Ctrl+Shift+Esc键运行“任务管理器”。在“任务管理器”中切换到“进程”标签,将除了系统自身进程以外的进程统统结束,然后再尝试删除病毒文件。如果病毒有自己的独立进程,那么用这个方法基本上就可以将病毒文件删除了,否则我们就要考虑病毒是否采用了进程注入技术,从而使用别的删除方法。
 
     卸载病毒的dll文件

     有些病毒会采用“进程注入”技术,例如灰鸽子木马、黑洞木马等。采用“进程注入”技术的病毒我们将无法在“任务管理器”中发现它的进程,因为病毒会将自身以dll的形式插入到系统的一些正常进程中,例如explorer.exe、winlogon.exe等进程。我们看到的只是这些正常的进程,而无法发现病毒的踪影。遇到这种情况时,我们就需要借助一些安全工具来解决。



图1.红色标注被注入的系统进程

     运行安全工具Icesword,点击“进程”按钮进入进程查看功能,如果当前有正常系统进程被病毒注入,那么该进程将会显示为红色。在这个被注入的进程上点右键,选择“结束进程”,然后在Icesword中通过其“文件”功能浏览找到需要删除的病毒文件,选中后右键“删除”即可。



图2.解除进程中的病毒模块

     如果Icesword没有检测出哪个进程被注入了该怎么办呢?那就只能手工进行分析了。在系统正常进程上点右键,选择“模块信息”,在出现的窗口中将会显示当前进程中所包含的dll文件,如果发现其中有dll文件的路径为已知的病毒文件,那么可以选中该dll文件,然后点击“强制解除”按钮,然后再去删除那个顽固的病毒文件。

     专业工具来帮忙

     如果你是菜鸟或者想偷懒,那么我们也可以借助一些专业的文件删除工具来对付顽固病毒文件。下载一款名为“killbox”的小工具,点击工具界面中的文件浏览按钮,浏览选中需要删除的病毒文件,然后点击“删除此文件”按钮,顽固病毒文件即可被删除。



图3.解锁病毒文件


相关文章

同类最新