1、第一步:查找DLL木马的Loader: 守护者(NOIR—QUEEN)会以DLL文件的形式插入到系统的Lsass.exe进程中,由于Lsass.exe是系统的关键进程,不能被终止。这种情况下,我们必须查找守护者的Loader。 使用“进程猎手”工具查看Lsass进程所调用的DLL文件,并与感染病毒前的信息比较,可以发现Lsass进程中增加了“QoSserver.dll”文件。通过操作系统自带的文件搜索功能,查找到了QoSserver.exe文件,这就是守护者的Loader。
3、第三步:清理注册表: 利用注册表中的查找服务,查找“QoSserver”关键字,并且将其键撕良滤儆值逐一删除。 所有操作完成之后,重新启动计算机,然后逐一检查守护者是否被清理干净。这样,我们就可以手工清除DLL病毒。由于DLL病毒类型不同,其清除方法也有所差异。不过,其步骤都是相同的,先用工具软件查找DLL病毒的Loader,然后针对具体情况采取不同的措施清除病毒。DLL病毒的清理相当的复杂,而且一些比较顽固的DLL病毒,一次很难清理干净。对于一些隐蔽性非常强的DLL病毒,杀毒软件没有查杀能力,必须采用特殊的清除方法来清除。
