若目标DLL只读文件未被删除,则执行步骤S209。
[0084]S208、创建与目标DLL只读文件同名的文件。
[0085]S209、在重启系统后创建与目标DLL只读文件同名的文件,并使用创建的文件替换目标DLL只读文件。
[0086]本实施例中,删除KIDO病毒的文件、KIDO病毒的线程和KIDO病毒的注册表项之后,将判断目标DLL只读文件是否被删除,即判断目标DLL只读文件是否能被删除,当目标DLL只读文件能被删除时,将创建与目标DLL只读文件同名的文件;当目标DLL只读文件无法被删除时,将在重启系统后创建与目标DLL只读文件同名的文件,并使用创建的文件替换目标DLL只读文件。由于创建的文件与目标DLL只读文件同名,因此,可以防止再次感染KIDO病毒。
[0087]在图2所描述的病毒清除方法中,可以根据包括特征码的SVCHOST进程和DLL只读文件来确定是否存在KIDO病毒的文件,在确定存在KIDO病毒的文件之后,将获取KIDO病毒的线程和注册表项,并删除KIDO病毒的文件、线程和注册表项,可以清除KIDO病毒,从而提高计算机的安全性。
[0088]请参阅图3,图3是本发明实施例提供的一种病毒清除装置的结构图。如图3所示,该病毒清除装置300可以包括:
[0089]检测单元301,用于检测是否存在包括特征码的SVCHOST进程,特征码用于标识非法侵入计算机的非法操作;
[0090]判断单元302,用于当检测单元301检测到存在包括特征码的SVCHOST进程时,判断该SVCHOST进程是否为目标动态链接库DLL只读文件对应的进程;
[0091]确定单元303,用于当判断单元302的判断结果为该SVCHOST进程为目标DLL只读文件对应的进程时,确定目标DLL只读文件为KIDO病毒的文件;
[0092]第一获取单元304,用于获取检测单元301检测到的SVCHOST进程包括的线程,以获得KIDO病毒的线程;
[0093]第二获取单元305,用于从注册表中获取目标DLL只读文件对应的注册表项,以获得KIDO病毒的注册表项;
[0094]删除单元306,用于删除第一获取单元304获取的线程、第二获取单元305获取的注册表项和确定单元303确定的KIDO病毒的文件。
[0095]具体地,第二获取单元305,具体用于从注册表中获取确定单元303确定的KIDO病毒的文件对应的注册表项,以获得KIDO病毒的注册表项。
[0096]在图3所描述的病毒清除装置中,可以根据包括特征码的SVCHOST进程和DLL只读文件来确定是否存在KIDO病毒的文件,在确定存在KIDO病毒的文件之后,将获取KIDO病毒的线程和注册表项,并删除KIDO病毒的文件、线程和注册表项,可以清除KIDO病毒,从而提高计算机的安全性。
[0097]请参阅图4,图4是本发明实施例提供的另一种病毒清除装置。如图4所示,该病毒清除装置400可以包括:
[0098]第一检测单元401,用于检测是否存在包括特征码的SVCHOST进程,特征码用于标识非法侵入计算机的非法操作;
[0099]第一判断单元402,用于当第一检测单元401检测到存在包括特征码的SVCHOST进程时,判断该SVCHOST进程是否为目标动态链接库DLL只读文件对应的进程;
[0100]确定单元403,用于当第一判断单元402的判断结果为该SVCHOST进程为目标DLL只读文件对应的进程时,确定目标DLL只读文件为KIDO病毒的文件;
[0101]第一获取单元404,用于获取第一检测单元401检测到的SVCHOST进程包括的线程,以获得KIDO病毒的线程;
[0102]第二获取单元405,用于从注册表中获取目标DLL只读文件对应的注册表项,以获得KIDO病毒的注册表项;
[0103]删除单元406,用于删除第一获取单元404获取的线程、第二获取单元405获取的注册表项和确定单元403确定的KIDO病毒的文件。
[0104]具体地,第二获取单元405,具体用于从注册表中获取确定单元403确定的KIDO病毒的文件对应的注册表项,以获得KIDO病毒的注册表项。
[0105]作为一种可能的实施方式,当第一检测单元401检测到存在包括特征码的SVCHOST进程时,该病毒清除装置400还可以包括:
[0106]第二检测单元407,用于检测是否存在隐藏的DLL只读文件,当第二检测单元407检测到存在隐藏的DLL只读文件时,触发第一判断单元402执行所述判断该SVCHOST进程是否为目标DLL只读文件对应的进程的步骤;
[0107]其中,目标DLL只读文件为隐藏的DLL只读文件中的任一文件。
[0108]作为一种可能的实施方式,第二获取单元405可以包括:
[0109]检测子单元4051,用于检测是否存在隐藏的注册表;
[0110]获取子单元4052,用于当检测子单元4051检测到存在隐藏的注册表时,从隐藏的注册表中获取目标DLL只读文件对应的注册表项,以获得KIDO病毒的注册表项。
[0111]作为一种可能的实施方式,该病毒清除装置400还可以包括:
[0112]第二判断单元408,用于判断目标DLL只读文件是否被删除;
[0113]创建单元409,用于当第二判断单元408的判断结果为目标DLL只读文件被删除时,创建与目标DLL只读文件同名的文件。
[0114]具体地,删除单元406删除确定单元403确定的KIDO病毒的文件、第一获取单元404获取的线程和第二获取单元405获取的注册表项,将触发第二判断单元408判断目标DLL只读文件是否被删除。
[0115]作为一种可能的实施方式,该病毒清除装置400还可以包括:
[0116]替换单元410,用于当第二判断单元408的判断结果为目标DLL只读文件未被删除时,在重启系统后创建与目标DLL只读文件同名的文件,并使用创建的文件替换目标DLL只读文件。
[0117]在图4所描述的病毒清除装置中,可以根据包括特征码的SVCHOST进程和DLL只读文件来确定是否存在KIDO病毒的文件,在确定存在KIDO病毒的文件之后,将获取KIDO病毒的线程和注册表项,并删除KIDO病毒的文件、线程和注册表项,可以清除KIDO病毒,从而提高计算机的安全性。
[0118]请参阅图5,图5是本发明实施例提供的又一种病毒清除装置的结构图。如图5所示,该病毒清除装置500可以包括:至少一个处理器501、例如CPU,存储器502,输入装置503,输出装置504以及至少一个通信总线505。其中,通信总线505用于实现这些组件之间的连接通信。存储器502可以是高速RAM存储器,还可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器502可选的可以包含至少一个位于远离前述处理器501的存储装置。其中:
[0119]存储器502中存储有一组程序代码,处理器501用于调用存储器502中存储的程序代码执行以下操作:
[0120]检测是否存在包括特征码的SVCHOST进程,特征码用于标识非法侵入计算机的非法操作;
[0121 ] 若存在包括特征码的SVCHOST进程,则判断该SVCHOST进程是否为目标动态链接库DLL只读文件对应的进程;
[0122]若该SVCHOST进程为目标DLL只读文件对应的进程,则确定目标DLL只读文件为KIDO病毒的文件;
[0123]获取该SVCHOST进程包括的线程,以获得KIDO病毒的线程;
[0124]从注册表中获取目标DLL只读文件对应的注册表项,以获得KIDO病毒的注册表项;
[0125]删除线程、注册表项和KIDO病毒的文件。
[0126]作为一种可能的实施方式,若存在包括特征码的SVCHOST进程,处理器501还用于调用存储器502中存储的程序代码执行以下操作: