[0127]检测是否存在隐藏的DLL只读文件;
[0128]若存在隐藏的DLL只读文件,则执行所述判断该SVCHOST进程是否为目标DLL只读文件对应的进程的步骤;
[0129]其中,目标DLL只读文件为隐藏的DLL只读文件中的任一文件。
[0130]作为一种可能的实施方式,处理器501从注册表中获取目标DLL只读文件的文件对应的注册表项,以获得KIDO病毒的注册表项的方式具体为:
[0131]检测是否存在隐藏的注册表;
[0132]若存在隐藏的注册表,则从隐藏的注册表中获取目标DLL只读文件对应的注册表项,以获得KIDO病毒的注册表项。
[0133]作为一种可能的实施方式,处理器501删除线程、注册表项和KIDO病毒的文件之后,处理器501还用于调用存储器502中存储的程序代码执行以下操作:
[0134]判断目标DLL只读文件是否被删除;
[0135]若目标DLL只读文件被删除,则创建与目标DLL只读文件同名的文件。
[0136]作为一种可能的实施方式,处理器501还用于调用存储器502中存储的程序代码执行以下操作:
[0137]若目标DLL只读文件未被删除,则在重启系统后创建与目标DLL只读文件同名的文件,并使用创建的文件替换目标DLL只读文件。
[0138]输入装置503,用于接收用户输入的指令或接收其它计算机发送的信息;
[0139]输出装置504,用于向其它计算机发送的信息或显示信息。
[0140]在图5所描述的病毒清除装置中,可以根据包括特征码的SVCHOST进程和DLL只读文件来确定是否存在KIDO病毒的文件,在确定存在KIDO病毒的文件之后,将获取KIDO病毒的线程和注册表项,并删除KIDO病毒的文件、线程和注册表项,可以清除KIDO病毒,从而提高计算机的安全性。
[0141 ] 本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random AccessMemory, RAM)、磁盘或光盘等。
[0142]以上对本发明实施例所提供的病毒清除方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在【具体实施方式】及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
【主权项】
1.一种病毒清除方法,其特征在于,包括: 检测是否存在包括特征码的SVCHOST进程,所述特征码用于标识非法侵入计算机的非法操作; 若存在包括特征码的SVCHOST进程,则判断所述SVCHOST进程是否为目标动态链接库DLL只读文件对应的进程; 若所述SVCHOST进程为目标DLL只读文件对应的进程,则确定所述目标DLL只读文件为KIDO病毒的文件; 获取所述SVCHOST进程包括的线程,以获得所述KIDO病毒的线程; 从注册表中获取所述目标DLL只读文件对应的注册表项,以获得所述KIDO病毒的注册表项; 删除所述线程、所述注册表项和所述KIDO病毒的文件。2.根据权利要求1所述的方法,其特征在于,若存在包括特征码的SVCHOST进程,所述方法还包括: 检测是否存在隐藏的DLL只读文件; 若存在隐藏的DLL只读文件,则执行所述判断所述SVCHOST进程是否为目标DLL只读文件对应的进程的步骤; 其中,所述目标DLL只读文件为所述隐藏的DLL只读文件中的任一文件。3.根据权利要求1所述的方法,其特征在于,所述从注册表中获取所述目标DLL只读文件的文件对应的注册表项,以获得所述KIDO病毒的注册表项包括: 检测是否存在隐藏的注册表; 若存在隐藏的注册表,则从所述隐藏的注册表中获取所述目标DLL只读文件对应的注册表项,以获得所述KIDO病毒的注册表项。4.根据权利要求1-3任一项所述的方法,其特征在于,所述删除所述线程、所述注册表项和所述KIDO病毒的文件之后,所述方法还包括: 判断所述目标DLL只读文件是否被删除; 若所述目标DLL只读文件被删除,则创建与所述目标DLL只读文件同名的文件。5.根据权利要求4所述的方法,其特征在于,所述方法还包括: 若所述目标DLL只读文件未被删除,则在重启系统后创建与所述目标DLL只读文件同名的文件,并使用创建的文件替换所述目标DLL只读文件。6.一种病毒清除装置,其特征在于,包括: 第一检测单元,用于检测是否存在包括特征码的SVCHOST进程,所述特征码用于标识非法侵入计算机的非法操作; 第一判断单元,用于当所述第一检测单元检测到存在包括特征码的SVCHOST进程时,判断所述SVCHOST进程是否为目标动态链接库DLL只读文件对应的进程; 确定单元,用于当所述第一判断单元的判断结果为所述SVCHOST进程为目标DLL只读文件对应的进程时,确定所述目标DLL只读文件为KIDO病毒的文件; 第一获取单元,用于获取所述第一检测单元检测到的SVCHOST进程包括的线程,以获得所述KIDO病毒的线程; 第二获取单元,用于从注册表中获取所述目标DLL只读文件对应的注册表项,以获得所述KIDO病毒的注册表项; 删除单元,用于删除所述第一获取单元获取的线程、所述第二获取单元获取的注册表项和所述确定单元确定的KIDO病毒的文件。7.根据权利要求6所述的装置,其特征在于,当所述第一检测单元检测到存在包括特征码的SVCHOST进程时,所述装置还包括: 第二检测单元,用于检测是否存在隐藏的DLL只读文件,当所述第二检测单元检测到存在隐藏的DLL只读文件时,触发所述第一判断单元执行所述判断所述SVCHOST进程是否为目标DLL只读文件对应的进程的步骤; 其中,所述目标DLL只读文件为所述隐藏的DLL只读文件中的任一文件。8.根据权利要求6所述的装置,其特征在于,所述第二获取单元包括: 检测子单元,用于检测是否存在隐藏的注册表; 获取子单元,用于当所述检测子单元检测到存在隐藏的注册表时,从所述隐藏的注册表中获取所述目标DLL只读文件对应的注册表项,以获得所述KIDO病毒的注册表项。9.根据权利要求6-8任一项所述的装置,其特征在于,所述装置还包括: 第二判断单元,用于判断所述目标DLL只读文件是否被删除; 创建单元,用于当所述第二判断单元的判断结果为所述目标DLL只读文件被删除时,创建与所述目标DLL只读文件同名的文件。10.根据权利要求9所述的装置,其特征在于,所述装置还包括: 替换单元,用于当所述第二判断单元的判断结果为所述目标DLL只读文件未被删除时,在重启系统后创建与所述目标DLL只读文件同名的文件,并使用创建的文件替换所述目标DLL只读文件。
【专利摘要】本发明提供了一种病毒清除方法及装置,用于解决有效清除KIDO病毒,提高计算机的安全性的问题,其中,该方法包括:检测是否存在包括特征码的SVCHOST进程,特征码用于标识非法侵入计算机的非法操作;若存在包括特征码的SVCHOST进程,则判断该SVCHOST进程是否为目标动态链接库DLL只读文件对应的进程;若该SVCHOST进程为目标DLL只读文件对应的进程,则确定目标DLL只读文件为KIDO病毒的文件;获取该SVCHOST进程包括的线程,以获得KIDO病毒的线程;从注册表中获取目标DLL只读文件对应的注册表项,以获得KIDO病毒的注册表项;删除该线程、该注册表项和KIDO病毒的文件。实施本发明实施例,可以清除KIDO病毒,从而提高计算机的安全性。
【IPC分类】G06F21/56
【公开号】CN105224871
【申请号】CN201510607657
【发明人】李文靖
【申请人】北京金山安全软件有限公司
【公开日】2016年1月6日
【申请日】2015年9月22日