恶意软件删除 – 准备删除

恶意软件将自身附加到程序并通过利用某些事件传输到其他程序。他们需要这些事件发生，因为他们不能自己启动，通过使用不可执行的文件传输自己并感染其他网络或计算机。

为了准备移除阶段，我们应该首先了解恶意软件正在使用哪些计算机进程来杀死它们。他们正在使用哪些流量端口来阻止它们？与这些恶意软件相关的文件是什么，以便我们有机会修复或删除它们。所有这些都包括一堆工具，可以帮助我们收集这些信息。

调查过程

从上述结论中，我们应该知道，当一些异常进程或服务自行运行时，我们应该进一步调查它们与可能的病毒的关系。调查过程如下 –

要调查流程，我们应该从使用以下工具开始​​ –

• 端口文件
• pslist.exe
• 处理程序
• 网络统计工具

该Listdll.exe显示了所有DLL文件正在使用。带有变量的netstat.exe显示了正在使用各自端口运行的所有进程。以下示例显示了如何将卡巴斯基反病毒软件的进程映射到命令 netstat-ano 以查看进程编号。要检查它属于哪个进程号，我们将使用任务管理器。

对于 Listdll.exe，我们从以下链接下载它 – https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx，我们可以运行它来检查哪些进程与正在连接的 DLL用过的。

我们打开CMD并进入Listdll.exe的路径如下图所示，然后运行它。

我们将得到如下屏幕截图所示的结果。

例如，PID 16320 正在被dllhost.exe 使用，它在左侧有一个COM Surrogate描述。它显示了这个进程显示的所有DLL，我们可以谷歌检查。

现在我们将使用 Fport，它可以从以下链接下载 – https://www.mcafee.com/hk/downloads/free-tools/fport.aspx#将服务和 PID 与端口映射。

另一个监控服务并查看它们消耗了多少资源的工具称为“进程资源管理器”，可以从以下链接下载 – https://download.sysinternals.com/files/ProcessExplorer.zip及之后下载它，您必须运行 exe 文件，您将看到以下结果 –