文档介绍:我也中了这种 bmp 病毒,可能大同小异,解决方法如下: 首先查病毒的名字(可以用 Yahoo 助手等,一查就知道),如494 mp 开机按 F8进入安全模式.= ===== ===== ===== ===== = 动态嵌入式 DLL 木马发现与清除方法随着 MS 的操作系统从 Win9 8过渡到 W innt 系统(包括 2 k/xp) , MS 的任务管理器也一下子脱胎换骨,变得火眼金睛起来(在 WI NNT 下传统木马再也无法隐藏自己的进程),这使得以前在 win 98下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,所以才会有今天这篇讨论如何清除动态嵌入式 DLL 木马的文章。首先,我们来了解一下什么是动态嵌入式木马,为了在 NT系统下能够继续隐藏进程,木马的开发者们开始利用 D LL(Dy namic Link Libr ary 动态链接库)文件, 起初他们只是将自己的木马写成 DLL 形式来替换系统中负责 W in So cket1 .x的函数调用 wso ck32. dll(W in So cket2 中则由 WS 2_32. DLL 负责),这样通过对约定函数的操作和对未知函数的转发(D LL 木马替换 wsoc ll时会将之更名,以便实现日后的函数转发)来实现远程控制的功能。但是随着 MS 数字签名技术和文件恢复功能的出台, 这种 DLL 马的生命力也日渐衰弱了,于是在开发者的努力下出现了时下的主流木马--动态嵌入式 D LL 木马,将 DLL 木马嵌入到正在运行的系统进程中. explo xe、 sv chost .exe 、 smss. exe 等无法结束的系统关键进程是 DLL 马的最爱, 这样这样在任务管理器里就不会出现我们的 DL L文件,而是我们 DL L的载体 EXE DLL 木马还可以实现另外的一些如端口劫持/复用(也就是所谓的无端口)、注册为系统服务、开多线程保护、等功能。简而言之,就是 DLL 木马达到了前所未有的隐蔽程度。那么我们如何来发现并清除 DLL 木马呢? 一,从 D LL 木马的 DLL 文件入手,我们知道 sys tem32 是个捉迷藏的好地方, 许多木马都削尖了脑袋往那里钻, DLL 马也不例外,针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的 EXE 和D LL 文件作一个记录:运行 CMD --转换目录到 sys tem32 --dir *.ex e>exe back. txt& dir * .dll> dllba t,这样所有的 EXE 和 DLL 文件的名称都被分别记录到 exeb xt和 dl lback .txt 中,日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入 DLL s ystem 32下的 E XE 和 DL L文件记录到另外的 e xebac t和 dll back1 .txt 中,然后运行 CMD-- fc ex eback .txt exeba xt>di t&fc dll back. txtd llbac t