解决无法删除文件或病毒.dll等文件

1、解决无法删除文件或病毒.dll等文件2007-07-30 08:13 在运行里输入cmd进入命令提示符。 然后输入命令tasklist /mc:123.txt 回车。是不是没有任何反应？ 不要急。到C盘下面去找一找，是不是有了一个123.txt？（当然。你可以自己设定文件的输出路径，名字，甚至后缀。但要是文本文件哦。） 打开他。里面就是目前运行的各个程序正在调用的dll文件。 把不能删除的dll文件的名字记下来。然后到记事本里去编辑-查找。输入对应的dll文件。是不是找出来了？ 找出来了后问题就好办多了。打开任务管理器。把对应的那个程序给关了。就可以顺利删除了。那就不必进安全模式，进DOS那么

2、麻烦了。 当然。有些应用程序是以服务形式运行的。那么你就有可能查到的是svhost.exe但是。里面有很多个哦。这个也好办。仍然打开命令提示符。输入tasklist /svc，当然，你也可以把他输出为文本文件，如tasklist /svcC:234.txt。看到了吗？每个svchost.exe后面是不是对应有一个ID呢？有了ID一对照也可以知道是哪个服务了。如果是可关的。就关了他。不过记住。系统进程可别乱关哦 =-中国网管联盟bitsCN.com -网管网www_bitscn_com-为了躲避杀毒软件的围追堵截，一些病毒作者开始把病毒或者木马程序，做成DLL文件。在Windows操作系统中，由

3、于系统运行的需求，必须加载一些DLL文件。病毒或木马程序伪装成DLL文件之后，不仅可以躲过杀毒软件的严密监控，还可以麻痹一些对电脑非常精通的高手。因为精通电脑的高手可以通过进程，以及网络端口判断是否存在病毒，伪装成DLL的病毒，不会出现在进程中，网络端口也会隐藏起来。正因于此，DLL病毒堪称最难对付的一类病毒。 对于DLL病毒，如何发现，清除并做出相应的防范措施呢？世间万物都有缺点，DLL病毒也不例外。只要对DLL病毒有一个非常透彻的了解，发现DLL病毒并不难，清除也很容易。 DLL病毒的原理及特点 提起DLL文件，或许很多用户并不陌生。DLL的全称是Dynamic Link Library，

4、中文叫做“动态链接文件”。在Windows操作系统中， DLL对于程序执行是非常重要的，因为程序在执行的时候，必须链接到DLL文件，才能够正确地运行。而有些DLL文件可以被许多程序共用。 DLL多数情况下是带有DLL扩展名的文件，但也可能是EXE或其他扩展名。在Windows操作系统中，DLL负责在Windows操作系统下可以运行的程序提供代码、数据或函数。在日常的使用过程中，程序会根据DLL文件中的指令打开、启用、查询、禁用和关闭驱动程序。更重要的是，DLL文件是无法删除的，尤其是Windows系统的DLL文件，因为Windows系统自带DLL文件检测恢复功能。 DLL病毒其实也是一个DLL

5、文件，它会插入到某个可执行文件中，使DLL文件可以执行，这样，病毒就可以随着系统的启动而自动运行了。由于病毒仅仅是调用某个可执行文件达到运行，系统管理器不会有其进程，也没有其占用的网络端口，非常高的隐蔽性，是DLL病毒的一个特点。加之一些DLL病毒作者，经常把病毒插入到系统文件中，一旦删除，系统就会瘫痪，致使DLL病毒很难清除，这是DLL病毒的又一特点。从DLL病毒的原理不难看出，DLL会借助某个可执行文件启动，虽然难以清除，而且非常隐蔽，但这是清除DLL病毒的一个方向。 DLL病毒的常用清除方法 由于DLL病毒有非常高的隐蔽性，不易被清除，基于DLL的病毒或木马特别流行。要想准确的清除DLL

6、病毒，还需要了解DLL病毒的常用启动方法，因为启动过程，就是调用可执行文件的一个过程。 1、单独编写的DLL文件病毒：这类病毒是最容易被清除的DLL病毒，其原理也非常简单。病毒作者编写一个DLL文件，然后通过注册表的Run键值或者其他可以被系统加载的地方启动。 2、替换系统文件的DLL病毒：病毒作者把病毒代码做成一个和系统匹配的DLL文件，并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时，DLL病毒就启一个转发的作用，把“参数”传递给原来的DLL文件。通过偷梁换柱的方法，DLL病毒堂而皇之的在用户电脑中活动。 3、动态嵌入式DLL病毒：这类病毒，可以在系统进程运行的时候，通过一些方

7、法，进入系统的进程中。由于系统进程无法终止，动态嵌入式的DLL病毒很难清除。 无论使用哪种方法启动，DLL病毒都需要借助一个可执行文件来启动，这也就是程序员俗称的“Loader”。只要DLL病毒启动了，就会通过注册表中的启动选项加载，还要知道DLL病毒的源文件名字。下面，我们以臭名昭著的守护者（NOIRQUEEN）DLL木马为例，介绍一下DLL病毒的清除方法。 第一步：查找DLL木马的Loader：守护者（NOIRQUEEN）会以DLL文件的形式插入到系统的Lsass.exe进程中，由于Lsass.exe是系统的关键进程，不能被终止。这种情况下，我们必须查找守护者的Loader。 使用“进程猎

8、手”工具查看Lsass进程所调用的DLL文件，并与感染病毒前的信息比较，可以发现Lsass进程中增加了“QoSserver.dll”文件。通过操作系统自带的文件搜索功能，查找到了QoSserver.exe文件，这就是守护者的Loader。 第二步：结束相关进程：感染了守护者病毒，在任务管理器中会有一个QoSserver.exe进程，强制结束这个进程。并在“服务”选项中，找到该项服务，并将其禁用。 第三步：清理注册表：利用注册表中的查找服务，查找“QoSserver”关键字，并且将其键值逐一删除。 所有操作完成之后，重新启动计算机，然后逐一检查守护者是否被清理干净。这样，我们就可以手工清除DLL

9、病毒。由于DLL病毒类型不同，其清除方法也有所差异。不过，其步骤都是相同的，先用工具软件查找DLL病毒的Loader，然后针对具体情况采取不同的措施清除病毒。 不难看出，DLL病毒的清理相当的复杂，而且一些比较顽固的DLL病毒，一次很难清理干净。对于一些隐蔽性非常强的DLL病毒，杀毒软件没有查杀能力，如何才能防范DLL病毒的感染呢？ DLL病毒的防范 尽管DLL病毒非常隐蔽，而且不易被发现。可是，DLL病毒只要运行，就会生成DLL文件，并且有Loader，找到了Loader，也就相当于找到了DLL病毒。下面介绍一下DLL病毒的常用防范方法。 1、备份DLL文件：DLL病毒通常会释放在Windo

10、wssystem32目录中，这也是系统DLL文件的所在目录，建议用户最好把该目录下的DLL文件备份一下。如果不备份，可以将文件名备份一下，备份方法如下：在DOS提示符下，执行：dir *.exe listexe.txt & dir *.dlllistdll.txt，这样，就会把所有的EXE名字和DLL文件名字备份到listexe.txt和listdll.txt中。如果发现系统异常，可以再执行上述命令，生成listexenew.txt和listdllnew.txt文件，使用FC对比命令，可以发现新增加的文件，这有可能就是DLL病毒的Loader。 2、查看DLL文件调用情况：使用诸如Window

11、s优化大师中的Windows 进程管理器，查看进程到底调用了什么DLL文件。同时，结合上边用FC命令比较出来的结果，可以检查系统是否感染了DLL病毒。 3、查看网络端口打开情况：DLL病毒虽然非常隐蔽，但只要工作，也会占用一个网络端口。尤其是一些DLL木马程序，经常需要与服务端连接，自然需要占用一个网络端口。在DOS提示符下，可以用netstat -an来查看所有TCP/UDP端口的连接，如果发现可疑连接，则证明系统可能感染了DLL病毒。不过，使用网络端口查看系统是否感染DLL病毒，需要用户大家对当前系统打开的端口非常熟悉，并对netstat -an中的state属性有所了解。 4、定期检查自

12、动加载项目：DLL病毒要运行，必须加载，而加载位置，无非是在注册表，Winstart.bat，Autoexec.bat，win.ini，system.ini，wininit.ini，Autorun.inf，Config.sys等文件中。定期检查这些文件的加载内容，也可以有效的防范DLL病毒的入侵。除此之外，系统的服务也是病毒加载的一个位置，也要仔细检查，而这需要用户对系统默认的服务要有非常透彻的了解。一旦发现系统服务有可疑项目，确认之后，禁用该服务，然后删除相关的文件。 其实，只要对操作系统有一定的了解，再了解了DLL病毒的工作原理及特点，平时多多细心检查，基本可以杜绝DLL病毒的入侵。 结束

13、语：民间有句俗语说得好，“卤水点豆腐，一物降一物。”DLL病毒虽然难对付，只要找对方法，照样轻松的找到DLL病毒并查杀。只要在使用中勤查看，多比较，即可社绝DLL病毒事件的发生。=安全基础之各类型病毒手工清除方法 06-12-30 09:29 赛迪网安全社区 病毒种类很多，现在给大家介绍下常见类型的手工清除方法： 一、EXE后缀型病毒文件 这类病毒一般是以进程的方式运行，这类病毒一般是比较好被发现的。下边先说下这类病毒，是在哪里启动的。 1.注册表 如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除： HKEY_LO

14、CAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce HKEY_CURRENT_USER/SoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer

15、sionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunHKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellFoldersStartup=C:/windows/start menu/programs/startup2.系统WIN.INI文件内 在win.ini文件中，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现

16、后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊 怎么没有这个呢？不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP)： ; for 16-bit app supportfontsextensionsmci extensionsfilesMailMAPI=1CMCDLLNAME32=mapi32.dllCMCDLLNAME=mapi.dllCMC=1MA

17、PIX=1MAPIXVER=OLEMessaging=1MCI Extensions.BAKaif=MPEGVideoaifc=MPEGVideoaiff=MPEGVideoasf=MPEGVideo2asx=MPEGVideo2au=MPEGVideom1v=MPEGVideom3u=MPEGVideo2mp2=MPEGVideomp2v=MPEGVideomp3=MPEGVideo2mpa=MPEGVideompe=MPEGVideompeg=MPEGVideompg=MPEGVideompv2=MPEGVideosnd=MPEGVideowax=MPEGVideo2wm=M

18、PEGVideo2wma=MPEGVideo2wmv=MPEGVideo2wmx=MPEGVideo2wvx=MPEGVideo2wpl=MPEGVideo3.SYSTEM.INI文件中 在system.ini文件中，在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。又会有人问了，我是XP系统怎么又不一样呢？给你个正常的XP系统的SYSTEM.INI，请大家可以参考下正常的SYSTEM.INI文件

19、： ; for 16-bit app supportdriverswave=mmdrv.dlltimer=timer.drvmcidriver32386enhwoafont=app936.FONEGA80WOA.FON=EGA80WOA.FONEGA40WOA.FON=EGA40WOA.FONCGA80WOA.FON=CGA80WOA.FONCGA40WOA.FON=CGA40WOA.FON4.在Config.sys内 这类加载方式比较少见，但是并不是没有。如果上述方法都找不到的话，请来这里也许会有收获的。 5.在Autuexec.bat内 这类加载方式也是比较少见，建议跟Config.sys

20、方法一样。 4和5的加载方式建议大家先必须确定计算机有病毒，并且上边的方法都找不到后，最后来这里进行查找。 总结：这类病毒是比较容易暴露的，建议手动删除时最好进入安全模式下，因为安全模式只运行WINDOWS必备的系统进程，EXE型病毒很容易暴露出来的，下边附上一张WINDOWS安全模式的必须进程表： smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)

21、 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) -netlogon svchost.exe 包含很多系统服务 !-eventsystem,(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。) explorer.exe 资源管理器 (internat.exe 托盘区的拼音图标) systemSystem Idle Process 这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器时间taskmagr.exe 就是任务管理器了二、DLL型后缀病毒 这类病毒大多是后门病毒，这类病毒一般

22、不会把自己暴露在进程中的，所以说特别隐蔽，比较不好发现。启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe和Svchost.exe，即使停止了Rundll32.exe和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了解了，但是不是后缀是DLL就是病毒哦，也不要因为系统有过多的Rundll32.exe和Sv

23、chost.exe进程而担心，因为他们不一定就是病毒，所以说这个病毒比较隐蔽，下边来介绍几种判别办法 1.Svchost.exe的键值是在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以Windows XP为例：在“运行”中输入：cmd，然后在命令行模式中输入：tasklist /svc。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为：

24、“tlist -s”即可。如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索 Svchost.exe文件就可以发现异常情况。一般只会找到一个在：“C:WindowsSystem32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。 2.还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。比如Windows优化大师中的Windows 进程管理 2.5。这样，可以发现进程到底调用了

25、什么DLL文件. 3.普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。我们可以用netstat an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的端口心中有数，并对netstat an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。 4.最关键的方法，对比法。安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打开CMD，来到WINNTsystem32目录下，执行：dir *.exeexe.txt & dir *.d

26、lldll.txt，这样，就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用： fc exe.txt exe0.txtexedll.txt & fc dll.txt dll0.txtexedll.txt其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到exedll.txt文件中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。 DLL型病毒的清除 1.在确定DLL病毒的文件

27、的话请尝试下边的移除方法： a. 开始运行输入Regedit ； b. 搜索“*.dll” ； c. 删除搜索到的键值； d. 重启； e. 转到C:WindowsSystem32； f. 删除*.dll； 2.到注册表下列地方寻找DLL的踪迹 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Currentversion/Svchost 3.如果上边的地方都找不到的话建议使用优化大势进程显示工具对RUNDLL32.EXE和SVCHOST.EXE里边运行的DLL程序进行核实找到病毒文件对其进行结束，然后在对他进行删除。建议使用第1种方法是非常有效的。 三、$NtUninsta