文章內容

通過系統權限來清理dll木馬

發布時間: 2012/7/4 14:32:19

相信大家對Dll木馬都非常熟悉了。它確實是非常招人恨家伙。不像普通exe木馬便于識別和清理，這家伙隱蔽性非常強，它可以嵌入一些如rundll32.exe,svchost.exe等正常的進程中去，讓你找不到，即使找到了也難以清除，因為正常的進程正在調用它嘛。
　　我用的是McAfee的殺毒軟件，比如說它現在報告：

　　defds.dll:C:\...\Temp\defds.dll刪除失敗

　　fdgeg.com:C:\Windows\ime\fdgeg.com刪除失敗

　　那么可以知道defds.dll應該是個dll木馬。我們可以通過冰刃icesword來查看系統的進程，找到調用該dll文件的進程，比如說是notepad.exe。我們可以先嘗試著終止該進程，該進程如果終止后過不了多久又重新運行(而我并沒有運行記事本)，那么我們可以判定fdgeg.com就是notepad.exe的的守護進程。當它發現它所監視的notepad.exe進程被終止后會立刻將notepad.exe重新啟用。

　　現在我們可以：我的電腦—>工具—>文件夾選項—>查看，在高級設置的選項下去掉“簡單文件共享”的鉤子(我的電腦是XP操作系統，NTFS磁盤格式)。

　　然后到C:\Windo0ws\ime下找到fdgeg.com，右鍵選擇屬性，在屬性中選擇“安全”，單擊“高級”，在彈出的窗口中使“從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目”不被選中，再在彈出的窗口中單擊“刪除”,再依次單擊“確定”。這樣就沒有任何用戶可以使fdgeg.com工作了。

　　通過icesword終止notepad.exe。然后到C:\Documents and Settings\Administrator\Local Settings\ Temp中刪除defds.dll。然后到C:\Windows\ime中再找到fdgeg.com，右鍵屬性，在屬性中選擇“安全”，單擊“高級”，在彈出的窗口中選中“從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目”，然后刪除它即可。

　　最后別忘了在注冊表的啟動項中將這個dll木馬刪除。

　　這樣，我們就徹底將這個討厭的dll木馬從我們的電腦中清除了。

本文出自：億恩科技【www.artduck.net】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]