我是这样分析的:
1.有些病毒是以动态链接库文件(*.DLL)体现的,通过远程注入.欺骗等手段加载到
系统重要的EXE中,只要这个进程一启动,该进程就会自动调用病毒DLL,WINDOWS系
统中最重要的进程首当其冲就是explorer.exe了.
2.因为动态链接库文件(*.DLL)不属于进程,所以进程管理器中无法发现它,另外由
系统重要的进程加载的DLL文件,即使你发现它的存在也很难识别是不是病毒DLL(
包括杀毒软件).
3.即使你找到这个病毒DLL文件所在目录,你也无法将它删除,因为它正在运行,DLL
文件又无法象进程那样能够强制关闭.
4.病毒DLL在内存中驻留,它能够释放出真正运行有效的病毒文件,并调用它,所以
这样的病毒就无法删除干净,它发现病毒执行文件被强制关闭或被删除,就会自动
释放出新的病毒文件然后调用.
5.不过动态链接库文件(*.DLL)的特性是只有当有进程调用它的时候才加载到内存
中,如果没有进程调用(或调用它的进程退出系统进程),DLL也会被释放掉.
6.于是我想就把explorer.exe这个系统进程强制关闭掉,然后再杀毒,结果病毒果
然被我杀干净,再也没有出现了.
呵呵,班门弄斧了,以上是我个人总结的经验,有不对的地方请大家指点一二
~
