隨著計(jì)算機(jī)病毒和惡意軟件的不斷進(jìn)化，一些高級(jí)病毒或木馬程序采用了進(jìn)程插入技術(shù)來(lái)隱藏自己。這種技術(shù)將病毒的動(dòng)態(tài)鏈接庫(kù)（DLL）文件插入現(xiàn)有的系統(tǒng)進(jìn)程中，常見(jiàn)的是插入explorer.exe和winlog

隨著計(jì)算機(jī)病毒和惡意軟件的不斷進(jìn)化，一些高級(jí)病毒或木馬程序采用了進(jìn)程插入技術(shù)來(lái)隱藏自己。這種技術(shù)將病毒的動(dòng)態(tài)鏈接庫(kù)（DLL）文件插入現(xiàn)有的系統(tǒng)進(jìn)程中，常見(jiàn)的是插入explorer.exe和winlogon.exe進(jìn)程。然而，當(dāng)前的殺毒軟件在查殺這種動(dòng)態(tài)鏈接庫(kù)的病毒時(shí)效果都不理想，甚至?xí)霈F(xiàn)誤判的情況，比如賽門(mén)鐵克誤殺系統(tǒng)關(guān)鍵動(dòng)態(tài)鏈接庫(kù)文件的事件。

對(duì)于插入explorer.exe中的DLL文件，大部分可以利用工具IceSword中的"模塊/卸除"功能將DLL文件卸載，然后手工刪除DLL病毒文件。對(duì)于插入winlogon.exe中的DLL文件，少數(shù)可以利用同樣的方法卸載并刪除，但大部分情況下需要在安全模式下手工刪除DLL病毒文件。

此外，一些病毒或木馬程序還可能感染U盤(pán)，在U盤(pán)上生成和相應(yīng)的EXE文件。為了查殺這些啟動(dòng)進(jìn)程的EXE病毒，我們可以采取以下措施：

查殺啟動(dòng)進(jìn)程的EXE病毒

1. 對(duì)于在進(jìn)程中發(fā)現(xiàn)的單進(jìn)程EXE病毒或木馬程序，例如svch0st.exe，一些殺毒軟件可以發(fā)現(xiàn)并停止該進(jìn)程，從而殺掉病毒。其他殺毒軟件可能會(huì)提示用戶報(bào)警或生成日志信息，需要用戶進(jìn)一步判斷后手動(dòng)停止相應(yīng)進(jìn)程并殺掉病毒。
2. 對(duì)于在進(jìn)程中發(fā)現(xiàn)的雙進(jìn)程EXE病毒或木馬程序，由于無(wú)法同時(shí)停止兩個(gè)進(jìn)程，當(dāng)我們手動(dòng)停止其中一個(gè)進(jìn)程時(shí)，另一個(gè)進(jìn)程會(huì)重新啟動(dòng)。針對(duì)這種情況，殺毒軟件也無(wú)能為力。但如果兩個(gè)進(jìn)程都不是系統(tǒng)進(jìn)程，我們可以通過(guò)"任務(wù)管理器/進(jìn)程/結(jié)束進(jìn)程樹(shù)"的方式停止它們，從而殺掉病毒。另外，工具IceSword（冰刃）中的"文件/設(shè)置/禁止進(jìn)線程創(chuàng)建"功能也可以先停止其中一個(gè)進(jìn)程，然后再停止另一個(gè)進(jìn)程，從而殺掉病毒。
3. 對(duì)于像被"熊貓燒香"感染的EXE文件，上述的手動(dòng)處理方法都無(wú)效，因?yàn)闊o(wú)法手動(dòng)清除受病毒感染的文件中的病毒。這種情況下，我們只能向殺毒軟件廠商提供病毒樣本，等待殺毒軟件升級(jí)后再進(jìn)行處理，或者重新安裝操作系統(tǒng)。

以上是針對(duì)開(kāi)機(jī)情況下查殺運(yùn)行狀態(tài)下的EXE和DLL病毒的一些方法和注意事項(xiàng)。在處理這些病毒時(shí)，需要謹(jǐn)慎操作，并確保使用最新版本的殺毒軟件和系統(tǒng)補(bǔ)丁以增加防護(hù)能力。