流氓软件的预防与卸载：如何清除流氓软件的残留
流氓软件的预防与卸载：如何清除流氓软件的残留
对于流氓软件的清理，我算小有点经验，其实在网上看到很多关于流氓软件清除的文章，不是写得太过简单，就是把流氓软件赖着不走的本事看得太过于简单。刚又看到贴子说暴风影音的捆梆软件惹出了麻烦，那就写点东西吧。　　 我刚来论坛的时候，最开始时我曾发过如何删除删除不了的DLL文件的文章，那时被不少网站转载过，可是我发现有的人在抱怨了，说我的方法不管用了，现在都没办法清除掉那些流氓软件留下来的文件了。　　 实际上，现在对他们不起作用是因为他们即使根本没被使用也无法被删除掉。这是因为流氓软件利用系统驱动模式将文件和对应的注册表项保护了起来并且进行着实时监控。所以即使文件被用或者不被使用，都不能被删除掉。而且注册表中的启动项　　 （HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run）　　 也是无法被删除的，就算你表面上看被删除了，刷新一下再看？　　 而且在系统驱动模式的保护下，即使你想创建一个相同名称的dll文件都是不允许的，例如被系统驱动程序保护的某个DLL文件c:\xx\xx.dll，无论你到哪儿，右键新建，你试试新建一个xx.dll文件，是不是不行的？　　 被加载的伪装成系统驱动程序的文件存放在c:\windows\system32\drivers下面，这下面文件比较多，找是比较费时一点啦，一般根据创建时间和公司等信息来找会比较有头绪。有的时候，流氓软件会无耻到伪装成MS公司的版本（上次手动清除CNNIC时的发现）　　 一旦你删除对应的sys文件后再清除注册表里　　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services　　 里的对应文件名的键值后（这里面是包含着系统启动时要加载的驱动程序和服务）你会发现，就算正常进入系统也可以把那些文件直接DEL掉。　　 从“开始-程序-所有程序-附件-系统工具-系统信息-软件环境”这里可以得到非常有用的信息~大家自己打开看看吧　　 如果在加载的模块里看不到流氓软件里所含的模块而又无法删除的那么应该就是我上面说那种情况了~~　　 所以大家在装好系统和一些必要的软件后，最好对drivers文件夹下面的文件详单做一个备份。　　 开始-运行-CMD　　 输入命令 dir /b c:\windows\system32\drivers &&c:\1.txt　　 这样你drivers下的所有文件名称就被备份到了c:\1.txt中。加上/b参数的原因是省略那些详细的文件信息，方便用fc进行比对。一旦发现有上述情况时，可以用文本比对的方法找出那几个多出来的sys系统驱动文件。进行排查。这样问题会比较容易解决一些　　 应该不会有太多人觉得我说了等于什么都没说吧，呵呵~　　 附：暴风影音那两个sys文件的名字为：abhcop.sys和hcalway.sys（因版本问题可能有变）　　 既然有人说不懂怎么查找删除，我索性讲得再清楚一点，其实查找的方法有很多种，我在这里所讲的只是手工查找的方法，用专门的流氓软件清理工具的也许要比手工的要快，我在这里只是介绍DIY的方法。　　 定位到drivers目录下后，点工具栏上的查看，选择详细信息，默认显示的是名称，大小，类型，修改日期，当然，这些信息是不够的，选择查看，选择选择详细信息，至少把创建日期和公司和版本也勾上，这样看来就会比较直观了，点击上面的大小或日期栏可以排序。　　 　　 　　 这样，通过创建日期和公司等信息，你总会发现可疑目标的。当然，也可以跟别人正常机上的来进行比对。　　 另一种情况是，如果你按我说的对drivers目录下的文件名称作了备份的话，那么你可以将现在的diveres目录下的文件名再一次dir导出到文本，然后利用fc.exe这个WINDOWS自带的小工具来完成比对~　　 例如：我事先备份好了文件名称，为c:\1.txt然后在drivers目录下新建了一个xxx.sys。然后再次用dir命令导出到c:\2.txt　　 然后在CMD里输入命令 fc /w c:\1.txt c:\2.txt&&c:\3.txt　　 这个命令会把比较的结果输出到c:\3.txt中去。（加/w参数是为了忽略空格）这　　 是结果：　　 正在比较文件 C:\1.txt 和 C:\2.TXT　　 ***** C:\1.txt　　 ***** C:\2.TXT　　 xxx.sys　　 *****　　 怎么样，是不是很直观呢？这时你就可以挨个进行排查了。　　 我再说一遍，这是手工清除的方法，大家尽管可以利用工具来进行清除，毕竟不是谁都有那么多时间耗在这无聊的事上的，大家看看就行了。
发表评论：
TA的最新馆藏[转]&[转]&[转]&[转]&[转]&[转]&清剿有奇招 叫你怎样彻底清除流氓软件_互联网频道_新华网
　　　　　　　
您的位置：
清剿有奇招 叫你怎样彻底清除流氓软件
日 08:00:16
　来源：IT部落
】　【】　【】　【】&
&&&&流氓软件的最显著的特性就是趁用户不注意偷偷地安装在用户的电脑上，怎么也赶不走，就如引狼入室，你说还怎么肯走。下面笔者经过众多的经验总结出一些对付顽固流氓软件的奇招，希望能帮到大家。对付不同的流氓软件有不同的方法，做到对症下药。
&&&&1、彻底请出3721上网助手，动用注册表!
&&&&绕过windows启动进程！我们通过win2k/xp的启动光盘，进入修复模式（console），然后通过命令方式，手动删除%systemroot%\system32\drivers\cns*.cab文件，然后删除%systemroot%，%systemroot%\system32下所有的cns*.*文件，然后按“F8”键进入启动模式菜单，进入安全模式。依次点击“开始→运行”，输入regedit打开注册表编辑器。
&&& 展开注册表到[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\ InternetExplorer\ AdvancedOptions]，删除CNS目录，这个目录在“Internet选项-高级”中加入了3721网络实名的选项；
&&& 展开注册表到[HKEY_LOCAL_MACHINE\ SOFTWARE\3721]以及[HKEY_CURRENT_USER\Software \3721]，删除整个3721目录；
&&& 展开注册表到[HKEY_CURRENT_USER\Software \Microsoft\InternetExplorer \Main]，删除CNSEnable等几个以CNS开头的键。
&&& 最后，重新启动windows，至此，3721上网助手已被我们赶出了我们的系统。
&&&&2、拒绝“淘宝”广告，关键在于屏敝!
&&&&卸载方法有四，最简单的如在MyIE或者Maxthon里面的“弹出窗口过滤”和“网页内容过滤”里面同时添加“unionsky、allyes、taobao”等过滤条目!
&&& 更直接的方法是使用用世界之窗浏览器，不用任何设置，默认即可屏蔽!
&&& 对于没有过滤功能的IE，如果系统是XP/2003，请在“开始→运行”中输入：%SystemRoot\system32 \notepad.exe C:\WINDOWS\ system32\drivers\etc\hosts；
&&& 如果系统是98/me，请在“开始→运行”中输入：%SystemRoot%\system32\notepad.exe C:\WINDOWS\hosts 或点击这里下载自动运行命令，解压后选择合适的bat文件双击运行，然后，将下列语句添加到最后一行。
&&&&3、删除中文上网
&&&&删除中文上网的具体方法是，进入“控制面板”的“添加/删除程序”选项，找到“中文上网官方版软件”，卸载。根据提示，选择要卸载的“中文域名IE客户端软件”和“中文域名邮件客户端软件”，输入“确认码”，进入下一步确认是否保留某些功能，确认保留或不保留后继续卸载，卸载完成会显示“中文上网官方版软件卸载成功!”的提示。
&&&&更多网络安全教程：
浏览更多互联网资讯，欢迎点击
【】　【】　【】　【】
（责任编辑:
请您发表感言，注意文明用语并遵守。}