杀掉马王(DLL病毒)其实十分简单

来自：neeao‘s blog
大家都是圈内人,都应该知道马王—–DLL病毒的牛X之处.其运行时不显示界面\进程还不占用过多的内存且任何一款不管正盗版杀毒软件都杀不了,现在我门就来分析他的原理:
　　在分析DLL病毒之前我们先来了解几条鲜为人知的命令regsvr32和taskill.他门就是构成DLL(动态数据库)文件牛X的根本下面我来说说他的作用:
　　
　　(1)regsvr32[/s][/n]{[/i[:cmdline]]} dllname (/u – 解除服务器注册； /s – 无声,不显示消息框；/i – 调用 DllInstall,给其传递一个可选[cmdline],跟/u 一起使用时,卸载 DLL；/n – 不要调用 DllRegisterServer,这个选项必须跟/i 一起使用)
　　regsvr32 /u zipfldr.dll——取消ZIP支持
　　
　　(2)taskill /参数 进程名或进程的pid 终止一个或多个任务和进程。
　　参数说明：/PID 要终止进程的pid,可用tasklist命令获得各进程的pid，/IM 要终止的进程的进程名，/F 强制终止进程，/T 终止指定的进程及他所启动的子进程。
　　
　　tasklist 显示当前运行在本地和远程主机上的进程、服务、服务各进程的进程标识符(PID)。
　　参数说明：/M 列出当前进程加载的dll文件，/SVC 显示出每个进程对应的服务，无参数时就只列出当前的进程。
　　
　　现在大家都知道了这2条命令应该明白DLL病毒是怎么在作怪了吧!!(比尔看到我发的帖肯顶会气挂的,这可是微软的机密啊!!)现在我门就来干掉DLL病毒(所谓的木马之王)吧!先用tasklist /M 列出当前进程加载的dll文件，/SVC 显示出每个进程对应的服务，无参数时就只列出当前的进程。就可以看到有哪些是DLL病毒了:115 知道了以后就用regsvr32 /u *.dll 卸载了DLL病毒，然后在删掉它这样马王就被干掉了