来源：人民网

DLL注入木马是目前网络上十分流行的木马形式，它就像是一个寄生虫，木马以DLL文件的形式，寄宿在某个重要的系统进程中，通过宿主来调用DLL文件，实现远程控制的功能。这样的木马嵌入到系统进程中可以穿越防火墙，更让人头疼的是，用杀毒软件进行查杀，杀软即使报警提示发现病毒，但是也无法杀掉木马病毒文件，因为木马DLL文件正被宿主调用而无法删除。下面我们把杀软放到一边，通过专用工具及其手工的方法来清除DLL木马。

　　一、清除思路

　　1、通过系统工具及其第三方工具找到木马的宿主进程，然后定位到木马DLL文件。

　　2、结束被木马注入的进程。

　　3、删除木马文件。

　　4、注册表相关项的清除。

　　二、 清除方法

　　1、普通进程DLL注入木马的清除

　　有许多DLL木马是注入到“iexplore.exe”和“explorer.exe”这两个进程中的，对于注入这类普通进程的DLL木马是很好清除掉的。

　　如果DLL文件是注入到“iexplore.exe”进程中，此进程就是IE浏览进程，那么可以关掉所有IE窗口和相关程序，然后直接找到DLL文件进行删除就可以了。如果是注入到“explorer.exe”进程中，那么就略显麻烦一些，因为此进程是用于显示桌面和资源管理器的。当通过任务管理器结束掉“explorer.exe”进程时，桌面无法看破到，此时桌面上所有图标消失掉，“我的电脑”、“网上邻居”等所有图标都不见了，也无法打开资源管理器找到木马文件进行删除了。怎么办呢?

　　这时候可以在任务管理器中点击菜单“文件”→“新任务运行”，打开创建新任务对话框，点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。然后选择“文件类型”为“所有文件”，即可显示并删除DLL了

　　提示：如果你熟悉命令行(cmd.exe)的话，可以直接通过命令来清除，如：

　　taskkill /f /im explorer.exe

　　del C:\Windows\System32\test.dll

　　start explorer.exe

　　第一行是结束explorer.exe，第二回是删除木马文件test.dll，第三行是重启explorer.exe

　　2、使用IceSword卸载DLL文件调用

　　如果木马是插入了“svchost.exe”之类的关键进程中，就不能指望进程管理器来结束进程了，可能需要一些附加的工具卸载掉某个DLL文件的调用。

　　冰刃(IceSword) V1.22 的功能十分强大，可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件。在IceSword的进程列表显示窗口中，右键点击DLL木马宿主进程，选择弹出菜单中的“模块信息”命令打开DLL模块列表对话窗口。选择可疑的模块后，点击“卸载”按钮即可将DLL木马进程中删除掉了。

　　如果提示不能卸载的话，可以点击“强行解除”按钮，从进程中强行删除该DLL调用。这时候就可以从“模块文件名”栏中，得到DLL文件文件的路径，然后到文件夹中将DLL木马彻底删除掉。

　　3、SSM终结所有DLL木马

　　许多木马都是注入到系统里关键进程中的，比如“svchost.exe”、“smss.exe”、“winlogon.exe”进程，这些进程使用普通方式无法结束，使用特殊工具结束掉进程或卸载掉进程中的DLL文件后，却又很可能造成系统崩溃无法正常运行等。例如一款著名的木马PCShare是注入“winlogon.exe”进程中的，该进程是掌握Windows登录的，在使用IceSword卸载时系统立刻异常重启，更本来不及清除dll文件，在重启后dll木马再次被加载。

　　对于这类dll木马，必须在进程运行之前阻止dll文件的加载。阻止dll文件加载要用到一个强大的安全工具“System Safety Monitor”(简称SSM)。SSM是由俄罗斯出品的一款系统监控软件，通过监视系统特定的文件和程序，达到保护系统安全的目的。这款软件功能非常强大，可以很好地配合防火墙和杀毒软件更好地保护系统的安全。

　　运行SSM，在程序界面中选择“规则”选项卡，右键点击中间规则列表空白处，选择“新增”命令。弹出文件浏览窗口，选择浏览文件类型为“库文件”，在其中选择指定文件路径“C:\Windows\system32\rejoice.dll”。确定后，即可将DLL木马文件添加到规则列表中，然后在界面下方的“规则”下拉列表中选择“阻止(F2)

[1] [2] 下一页