关于病毒模块插入系统、应用程序进程的问题

中毒后，杀不净，常见的原因之一是病毒插入了系统/应用程序进程。

不将被插进程中的病毒模块处理掉，毒是杀不净的。

如何发现进程被插？常见的方法是：在中招的电脑上扫SRENG日志。SRENG日志的“正在运行的进程”部分可找到进程被插信息（阅读这部分日志判断进程中的病毒木块————需要经验）。当然，你也可以用IceSword一一检视进程列表中各进程的“模块信息”（比较累）。

按照手工杀毒时的不同处理方式，被插进程大致可分为以下几类：

1、系统核心进程。系统核心进程不能结束。否则，系统崩溃。

下面是阅读论坛中求助帖时，在SRENG日志见到的一个具体例子：
正在运行的进程
[PID: 668][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\E5CEBDF.DLL] [Microsoft Corporation, ]

这段日志提示：系统核心进程C:\WINDOWS\system32\csrss.exe被病毒模块插入了。插入此进程的病毒模块是C:\WINDOWS\system32\E5CEBDF.DLL。
如果不采取相应措施卸掉csrss.exe进程中的E5CEBDF.DLL，病毒文件C:\WINDOWS\system32\E5CEBDF.DLL无法删除。
除了csrss.exe以外，属于系统核心进程的还有：
SystemRoot\System32\smss.exe
SystemRoot\System32\winlogon.exe
SystemRoot\System32\lsass.exe
SystemRoot\System32\services.exe
SystemRoot\System32\svchost.exe
处理这些进程中的病毒模块，我尝试过：
（1）用IceSword禁止进程创建，然后，强制卸除之。有时可以成功卸除，有时卸除失败（系统崩溃，重启）。
（2）如果（1）失败。可以尝试“禁止进程创建”后，强制删除病毒模块文件，有时也可达到目的（如木马Keygen.exe的处理）。
（3）如果（1）、（2）均失败，可以尝试用SSM解决问题：将病毒模块录入SSM的规则中，禁止病毒模块加载。将SSM设置为“启动加载”。然后，重启系统。
（4）将病毒模块录入Tiny的黑名单。重启系统。
（5）在安全模式下尝试删除病毒模块（成功率并非100%）。需要注意的是：有些病毒感染后，用户根本无法进入安全模式。这时，就别想这招了。没用。

总之，中招者必须想办法将这些系统核心进程处理干净。否则，病毒杀不净。

2、explorer.exe（资源管理器）进程。这种进程插入比较常见。
explorer.exe进程可以结束（不会导致系统崩溃）。但是，用户若结束了explorer.exe进程，那他就只能对着一个空荡荡的桌面发呆了。
插入了explorer.exe进程的病毒模块，用IceSword禁止进程创建后，一般可以顺利卸除。

3、一般应用程序进程。
这种情形最容易处理。用IceSword禁止进程创建，然后，找到相应进程，结束之。

4、比较“掉轨”的情形：
用IceSword，预先设置了禁止进程创。然后，根据SRENG日志提供的信息，所有被插进程都处理干净了，但病毒文件依然无法删除！
导致这种情形的原因常被忽视：您遇到了“动态插入”（即：中毒后，用户运行哪个程序，病毒模块随即插入其进程中）。很可能是————您运行IceSword时，病毒插入了IceSword进程。这时，应检查IceSword进程的“模块信息”，找到其中的病毒模块，强制卸除之。

将所有被插进程处理干净后，即可开始删除病毒文件。
注意：如果前面用IceSword处理进程时一切顺利，删除病毒文件时，请不要更换工具，继续用IceSword操作。
删净病毒文件后，还要删除病毒添加的注册表项（根据SRENG日志）。
当然，您愿意先删除病毒添加的注册表项，然后再删除病毒文件，也是可以的。这只是个操作顺序问题。用IceSword禁止进程创建并处理干净所有进程后，这种不同的操作顺序————没有什么本质区别。

总之，进程插入问题，是导致病毒屡杀不净的常见原因。手工杀毒时，需重视这个问题，并根据实际情况，灵活采取相应的措施。