最近一段时间,出现了不少的双进程互相监控的病毒,例如一个AV终结者的新变种“Trojan-Downloader.Win32.Todon.u”,
就采取了这种措施,而且对于各种安全软件,会主动关闭,那么,如何应对呢?
首先,尝试能否打开任务管理器(Ctrl+Alt+Del)一般的病毒不会禁用这个,否则就太容易被发现了,
当然,如果被禁用了的话,就不用继续向后看了!
打开任务管理器以后,排除系统进程和正常用户进程,注意仿冒的系统进程,例如svch0st.exe这种进程,
还有就是不在system32目录中的svchost.exe,那么,如何识别是否为系统目录的svchost.exe呢?
我们可以打开命令提示符(开始,运行,输入cmd.exe,确定),执行tasklist /svc查看,
如果一个svchost.exe后边对应的服务为“暂缺”,那么这个svchost.exe一定有问题!
如果懒得确定哪个svchost有问题的话,可以采用如下方法:
打开记事本,复制如下内容,另存为*.bat的文件,双击执行!
复制内容到剪贴板
代码:
taskkill /f /im:svch0st.exe
taskkill /f /im:svohost.exe
taskkill /f /im:svchost.exe
shutdown -a解释一下,前三行是用来结束svchost和仿冒的svchost用的,最后一行用来取消系统关机(正常的svchost被结束以后会出现倒计时关机!)。
接下来,确定病毒的进程名(这里假设为a.exe和b.exe两个进程),然后结束其中的任意一个(例如a.exe),看看病毒的反应
(部分病毒可能会在此时关闭你的任务管理器,不用担心,一般情况下重新打开任务管理器就行了,
如果不行的话,可以继续利用命令提示符处理,这个放到后边介绍),
如果病毒恢复了这个被杀死的进程,那么我们可以右击另一个(这里是b.exe),选择“结束进程树”,此时两个病毒进程就会被同时干掉了!
如果任务管理器无法再次打开(也就是说,病毒不允许你用任务管理器),可以使用cmd来解决!
首先执行tasklist,确定病毒的进程名称,然后taskkill /f /im:a.exe(两个进程中的任意一个),
过几秒钟,再次执行tasklist,查看任务列表,此时病毒会恢复被结束的进程,
接下来要做的就是执行taskkill /f /t /im:b.exe(结束另一个进程的进程树,注意比前一个命令多了一个/t参数),
好了,到这里,病毒的进程已经被kill掉了,可以使用各种安全工具清除病毒的启动项、病毒文件等东西了!
注意,我还要罗嗦一句,使用安全工具以前,先修改一下文件名(例如冰刃的IceSword.exe可以修改为IceSword123.exe),避免被影响劫持,再次启动病毒!
本文章为本人原创,转载请注明出处(点饭论坛
http://www.mpfans.org/)
[
本帖最后由 songbowen 于 2007-12-7 20:35 编辑 ]
