27种恶意软件安装卸载实录.docx

1、27种恶意软件安装卸载实录直面流氓：27种恶意软件安装卸载实录恶意软件或者叫流氓软件,一个网民见之就火大的词,因为在看到这个词网民随即联想到的是 卑鄙,无耻,充满敌意.关于这个我们不多说,我只想介绍两个词:Hook和BHO.这篇文章主要从技术上说明其危 害性,并且通过大量实验来证明中国网民电脑的亚健康状态值得所有人关注,更重要的是提供 了完整删除这些软件的方法,非常适合流氓缠身的初级网民阅读.HOOK中文意思就是“钩子”的意思.这种函数是Windows消息处理机制的一部分,通过设置“钩 子”,应用程序可以在系统级对所有消息、事件进行过滤,访问在正常情况下无法访问的消息.当然,这 么做也是需要付

2、出一定的代价的.由于多了这么一道处理过程,系统性能会受到一定的影响,所以大家在必要 的时候才使用“钩子”,并在使用完毕及时将其删除.用到 HOOK 的程序有:WINDOWS 界面修改程 序、视窗锁、网吧管理软件,当然,常见的少不了木马等程序. BHO有时,你可能需要一个定制版本的浏览器.在这种情况下,你可以自由地把一些新颖但又不标准的特征增加到 一个浏览器上.结果,你最终有的只是一个新但不标准的浏览器.Web浏览器控件只是浏览器的分析引擎.这意 味着仍然存在若干的与用户接口相关的工作等待你做增加一个地址栏,工具栏,历史记录,状态栏,频道 栏和收藏夹等.如此,要产生一个定制的浏览器,你可以进行两

3、种类型的编程一种象微软把Web浏览器控 件转变成一个功能齐全的浏览器如Internet Explorer;一种是在现有的基础上加一些新的功能.如果有一个 直接的方法定制现有的Internet Explorer该多好?BHO(Browser Helper Objects,笔者译为浏览器帮 助者对象,以下皆简称BHO)正是用来实现此目的的.BHO对象依托于浏览器主窗口.实际上,这意味着一旦一个浏览器窗口产生,一个新的BHO对象实例就要生成. 任何 BHO对象与浏览器实例的生命周期是一致的.BHO仅存在于Internet Explorer 4.0及以后版本中.如果 你在使用Microsoft Win

4、dows? 98, Windows 2000, Windows 95, or Windows NT版本4.0 操作系统的话,也 就一块运行了活动桌面外壳4.71,BHO也被 Windows资源管理器所支持. BHO是一个COM进程内服务,注册于注 册表中某一键下.在启动时,Internet Explorer查询那个键并把该键下的所有对象预以加载.安装恶意软件和卸载实录机器配置Cpu P4 2.66G内存 521*2主板 Asus P5VD1-x显卡 6600安装恶意软件总数本次安装软件的总数约有27种,用约这个词,因为对这个数字不确定,实在不知道什么时候又中了 招中招.包括了目前网上共享、免费

5、软件中捆绑 的各种软件以及各个网站开发的IE工具条等等. 安装过程中这些软件99.9%都选择C盘为他们的最佳栖息地,而且有80%以上都将安装过程精简到了及至,一步 甚至两步后,这个软件就已经在你的 系统中驻扎下来了,在这其中唯有酷客娱乐平台 选择了D盘为他的老巢.使用在安装了近一半的恶意软件后,机器运行速度明显变得迟缓,开个IE主页也需40秒,透过任务管理器笔者们可 以看到已经有的恶意软件开始浸入进程了.安装了80%了的恶意软件后,机器运行速度进一步减慢,在Google的工具栏中键入了一个关键词后按回车,这 个页面立即出现假死现象,约5分钟后, 搜索结果页面才出现,右键菜单也充斥了这些本着“为

6、用户着 想”的软件的快捷菜单.终于,IE扛不住了,倒下了.这是开机后的画面,笔者关掉了自带的杀毒软件,任这些恶意软件肆意的蹂躏笔者的电脑.卸载过程第一步,正常卸载笔者们先在控制面板中的添加删除程序中用这些软件自带的卸载程序卸下他们,也许你会说80%以上都卸不 了,实际上有65%左右的恶意软件卸不完 整,请注意笔者说的卸载不完整,意思是在使用其自带的卸载程序后 第三方工具能检测到他们仍然有程序驻留在电脑中,仅有20%的流氓软件,能完全 卸载掉,话说回来,该把这 些能正常完整卸载掉的流氓软件叫什么呢.剩下的15%后来被证实是冥顽不化的老顽固,他们紧紧的抓住 Windows的头发, 希望能永远躲进这

7、个温床里,随时发作.在正常卸载中有以下几个非常明显的死皮赖脸不走的:rich media青娱乐易趣YOK超级搜索工具卸载笔者用第三方工具超级兔子7.55和恶意软件清理助手1.96扫描了一下,发现仍然有20个左右的而已程序还在电脑中,包括已经使用其自身的卸载程序的某些软件, 随 即,笔者开始了对这些给好脸还不走的恶意程序开始哄赶,先用恶意软件清理助手扫描一遍随后立即清理,清 理两次之后一些厚脸皮的恶意程序不情愿的走掉了,但是还有一小堆顽固势力依然存在,这里笔者遇到了一 搜工具条顽劣的抵抗,每次清理他的时候,他正人君子似的跳出一个对话 框问笔者现在希望做什么,笔者按 照他程序的一步步的点下去,希望

8、他能够了解笔者的心,拍拍屁股能好走,可他偏不,笔者以为笔者按了卸载 这个按钮后他能立即闪人,可接连几次,他依旧死死占据了位置不走.用完了助手后笔者又打开了超级兔子,可以看到原先的近30个恶意程序已经走了大半,还是有些恶意软件清 理助手清理不掉的,自然借助兔子笔者 又是对这些恶意软件清理了一番,如此几次下来,近30个恶意软件已 经基本清理掉了,最最顽固的当数XX搜霸和彩信通,笔者决定重起后对他们进 行进一步的行动.重起后,也只有XX搜霸一人死不悔改的站在那,三下五除二就把它给搞定了,用的还是恶意软件清理助 手.至此,笔者的恶意软件清理工作已经接近了尾声,接下来的就是扫尾工作了. 先到c盘中看看,有几个恶意软件还是留下点东西,删除掉就好,再进入C:Program Files,这里也还有一些恶 意软件的残留物,清理掉他们后还剩下最后一步,就是清理启动项,这里你有两中选择:一是在开始运行中键入msconfig打开系统配置实用程序找到启动的选项卡,清理掉一些残留的启动项,重 起;二是使用超级兔子或Windows优化大师等工具来优化启动项,重新启动后一切就都恢复到了原状.推荐工具:Unlocker 1.83恶意软件清理助手1.96超级兔子Windows优化大师