DLL病毒的常用3種清除方法總結

DLL病毒的幾種基本原理：

單獨編寫的DLL檔案病毒：這類病毒是最容易被清除的DLL病毒，其原理也非常簡單。病毒作者編寫一個DLL檔案，然後通過登錄檔的Run鍵值或者其他可以被系統載入的地方啟動。

替換系統檔案的DLL病毒：病毒作者把病毒程式碼做成一個和系統匹配的DLL檔案，並把原來的DLL檔案改名。遇到應用程式請求原來的檔案時，DLL病毒就啟一個轉發的作用，把“引數”傳遞給原來的DLL檔案。通過偷樑換柱的方法，DLL病毒堂而皇之的在使用者電腦中活動。

動態嵌入式DLL病毒：這類病毒，可以在系統程序執行的時候，通過一些方法，進入系統的程序中。由於系統程序無法終止，動態嵌入式的DLL病毒很難清除。

下面，我們以臭名昭著的守護者(NOIRQUEEN)DLL木馬為例，介紹一下DLL病毒的清除方法。

工具/原料

DLL備份補丁

步驟/方法

1、第一步：查詢DLL木馬的Loader：

守護者(NOIRQUEEN)會以DLL檔案的形式插入到系統的程序中，由於是系統的關鍵程序，不能被終止。這種情況下，我們必須查詢守護者的Loader。

使用“程序獵手”工具檢視Lsass程序所呼叫的DLL檔案，並與感染病毒前的資訊比較，可以發現Lsass程序中增加了“”檔案。通過作業系統自帶的檔案搜尋功能，查詢到了檔案，這就是守護者的Loader。

2、第二步：結束相關程序：

感染了守護者病毒，在工作管理員中會有一個程序，強制結束這個程序。並在“服務”選項中，找到該項服務，並將其禁用。

3、第三步：清理登錄檔：

利用登錄檔中的查詢服務，查詢“QoSserver”關鍵字，並且將其鍵值逐一刪除。

所有操作完成之後，重新啟動計算機，然後逐一檢查守護者是否被清理乾淨。這樣，我們就可以手工清除DLL病毒。由於DLL病毒型別不同，其清除方法也有所差異。不過，其步驟都是相同的，先用工具軟體查詢DLL病毒的Loader，然後針對具體情況採取不同的措施清除病毒。DLL病毒的清理相當的複雜，而且一些比較頑固的DLL病毒，一次很難清理乾淨。對於一些隱蔽性非常強的DLL病毒，防毒軟體沒有查殺能力，必須採用特殊的清除方法來清除。

注意事項

無論使用哪種方法啟動，DLL病毒都需要藉助一個可執行檔案來啟動，這也就是程式設計師俗稱的“Loader”。只要DLL病毒啟動了，就會通過登錄檔中的啟動選項載入，還要知道DLL病毒的原始檔名字。