Question

很有难度的问题（非高手不要进，进了也没用）

请教：怎么杀dll木马（进程是svchost和lsass的dll木马）。请高手帮忙解答一下，谢谢了！！！
用纯杀毒软件的笨方法就不要在此讲了，（偶已经用了十几种杀毒软件瑞星，金山，卡巴。。。，检测都检测不出来）偶需要手动杀毒的方法。 我用netstat/ano查看端口，有123。135。445。500。1025。1900。4500端口开着。135，445，1025等待连接（网线早拔了）进程是svchost,lsass.<注：重装系统，低格都解决不了> 我看是yanacl2017儿子的人品有问题吧

Answer 1

你怎么知道是 插入svchost和lsass的dll木马?一般都是插入ie的 我感觉
你可以用icesword去打开这两个进程
去强制解除 木马的dll文件
后删除之
再后重启之
杀毒完成
或者找到病毒文件dll 改名字之
或者用ntfs的权限 设置dll文件 让你的用户没有 运行该dll的权限

Answer 2

ewido v4.0这个是世界第一的防木马软件。许多木马克星和木马杀客查不出来的木马，它都能查出来。相比之下，就是占内存稍微多一些。可以在这里下载http://www.backchina.org/threads/200607/82/389692.shtml
要不就用超级兔子，进安全模式手动删除。

Answer 3

重装

Answer 4

我的svchost.exe svchost.exe 进程包含 62 个模块

C:\WINDOWS\System32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\System32\IMM32.DLL
C:\WINDOWS\System32\LPK.DLL
C:\WINDOWS\System32\USP10.dll
c:\windows\system32\shsvcs.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\SHLWAPI.dll
C:\WINDOWS\system32\shell32.dll
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
C:\WINDOWS\system32\comctl32.dll
C:\WINDOWS\System32\WINSTA.dll
C:\WINDOWS\System32\UxTheme.dll
C:\WINDOWS\System32\rsaenh.dll
c:\windows\system32\dhcpcsvc.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\WS2HELP.dll
c:\windows\system32\iphlpapi.dll
c:\windows\system32\netman.dll
c:\windows\system32\MPRAPI.dll
c:\windows\system32\ACTIVEDS.dll
c:\windows\system32\adsldpc.dll
c:\windows\system32\NETAPI32.dll
C:\WINDOWS\system32\WLDAP32.dll
c:\windows\system32\ATL.DLL
C:\WINDOWS\system32\OLEAUT32.dll
c:\windows\system32\rtutils.dll
c:\windows\system32\SAMLIB.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\RASAPI32.dll
c:\windows\system32\rasman.dll
c:\windows\system32\TAPI32.dll
c:\windows\system32\WINMM.dll
c:\windows\system32\Secur32.dll
c:\windows\system32\WZCSvc.DLL
c:\windows\system32\WMI.dll
C:\WINDOWS\system32\CRYPT32.dll
C:\WINDOWS\system32\MSASN1.dll
c:\windows\system32\WTSAPI32.dll
C:\WINDOWS\system32\mswsock.dll
C:\WINDOWS\System32\wshtcpip.dll
C:\WINDOWS\System32\rastls.dll
C:\WINDOWS\System32\SCHANNEL.dll
C:\WINDOWS\system32\USERENV.dll
C:\WINDOWS\System32\WinSCard.dll
C:\WINDOWS\System32\raschap.dll
C:\WINDOWS\System32\CLBCATQ.DLL
C:\WINDOWS\System32\COMRes.dll
C:\WINDOWS\system32\VERSION.dll
C:\WINDOWS\system32\msv1_0.dll
c:\windows\system32\schedsvc.dll
c:\windows\system32\NTDSAPI.dll
C:\WINDOWS\system32\IMAGEHLP.dll
C:\WINDOWS\System32\NTMARTA.DLL
c:\windows\system32\audiosrv.dll
C:\WINDOWS\System32\MSIDLE.DLL
看看是不是有问题啊？
你怎么确定你的是 插入svchost和lsass的dll木马?一般都是插入ie的
用HijackThis1991汉化版

Answer 5

手工解决也需要软件的！
你可以用这个软件来处理试试：
按杀毒软件提供的路径，记下来
1.下载一个软件：冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件，下载解压缩后即可使用。
点击：进程 逐个右击右侧的进程－－模块信息，仔细查看这个dll到底对哪些进程进行了插入（特别是那些系统进程），尝试用右侧的“强制解除”试试，能不能将这个dll文件从进程中解除出来（可能会碰上在某个进程中强制解除时机器会重启的现象）。
如果不行，请先运行regsvr32 /u 这个dll文件，将它从系统中反注册。

2.直接在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件（木马文件一般在system32下）

3.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。

4.在这个软件的界面里直接搜索注册表里这个文件的键值，删除搜索到的。

5.重启电脑，这个东西应该清除干净了。