標籤: 暫無標籤

惡意程序,通常是指帶有攻擊意圖所編寫的一段程序。惡意程序主要包括:陷門、邏輯炸彈、特洛伊木馬、蠕蟲、細菌、病毒等等。

1 惡意程序 -簡介

惡意程序通常是指帶有攻擊意圖所編寫的一段程序。圖1提供了軟體威脅或惡意程序的完整分類。這些威脅可以分成兩個類別:需要宿主程序的威脅和彼此獨立的威脅。前者基本上是不能獨立於某個實際的應用程序、實用程序或系統程序的程序片段;後者是可以被操作系統調度和運行的自包含程序。也可以將這些軟體威脅分成不進行複製工作和進行複製工作的。簡單說,前者是一些當宿主程序調用時被激活起來完成一個特定功能的程序片段;後者或者由程序片段(病毒)或者由獨立程序(蠕蟲、細菌)組成,在執行時可以在同一個系統或某個其它系統中產生自身的一個或多個以後被激活的副本。當然,圖5.1中的邏輯炸彈或特洛伊術馬也可能只是一個病毒或蠕蟲的一部分。

2 惡意程序 -種類

惡意程序主要包括:陷門、邏輯炸彈、特洛伊木馬、蠕蟲、細菌、病毒等等。

(1)陷門:計算機操作的陷門設置是指進入程序的秘密人口,它使得知道陷門的人可以不經過通常的安全檢查訪問過程而獲得訪問。程序員為了進行調試和測試程序,已經合法地使用了很多年的陷門技術。當陷門被無所顧忌的程序員用來獲得非授權訪問時,陷門就變成了威脅。對陷門進行操作系統的控制是困難的,必須將安全測量集中在程序開發和軟體更新的行為上才能更好地避免這類攻擊。

2)邏輯炸彈:在病毒和蠕蟲之前最古老的程序威脅之一是邏輯炸彈。邏輯炸彈是嵌入在某個合法程序裡面的一段代碼,被設置成當滿足特定條件時就會發作,也可理解為「爆炸」,它具有計算機病毒明顯的潛伏性。一旦觸發,邏輯炸彈的危害性可能改變或刪除數據或文件,引起機器關機或完成某種特定的破壞工作。

(3)特洛伊木馬:特洛伊木馬是一個有用的,或表面上有用的程序或命令過程,包含了一段隱藏的、激活時進行某種不想要的或者有害的功能的代碼。它的危害性是可以用來非直接地完成一些非授權用戶不能直接完成的功能。洛伊木星馬的另一動機是數據破壞,程序看起來是在完成有用的功能(如:計算器程序),但它也可能悄悄地在刪除用戶文件,直至破壞數據文件,這是一種非常常見的病毒攻擊。

(4)蠕蟲:網路蠕蟲程序是一種使用網路連接從一個系統傳播到另一個系統的感染病毒程序。一旦這種程序在系統中被激活,網路蠕蟲可以表現得像計算機病毒或細菌,或者可以注入特洛伊木馬程序,或者進行任何次數的破壞或毀滅行動。為了演化複製功能,網路蠕蟲傳播主要靠網路載體實現。如:①電子郵件機制:蠕蟲將自己的複製品郵發到另一系統。②遠程執行的能力:蠕蟲執行自身在另一系統中的副本。③遠程註冊的能力:蠕蟲作為一個用戶註冊到另一個遠程系統中去,然後使用命令將自己從一個系統複製到另一系統。網路蠕蟲程序靠新的複製品作用接著就在遠程系統中運行,除了在那個系統中執行非法功能外二它繼續以同樣的方式進行惡意傳播和擴散。

網路蠕蟲表現出與計算機病毒同樣的特徵:潛伏、繁殖、觸發和執行期。繁殖階段一般完成如下的功能:①通過檢查主機表或類似的存儲中的遠程系統地址來搜索要感染的其它系統。②建立與遠程系統的連接。③將自身複製到遠程系統並引起該複製運行。網路蠕蟲將自身複製到一個系統之前,也可能試圖確定該系統以前是否已經被感染了。在多道程序系統中,它也可能將自身命名成一個系統進程,或者使用某個系統管理員可能不會注意的其它名字來掩蔽自己的存在。和病毒一樣,網路蠕蟲也很難對付,但如果很好地設計並實現了網路安全和單機系統安全的測量,就可以最小化限制蠕蟲的威脅。

(5)細菌:計算機中的細菌是一些並不明顯破壞文件的程序,它們的惟一目的就是繁殖自己。一個典型的細菌程序可能什麼也不做,除了在多道程序系統中同時執行自己的兩個副本,或者可能創建兩個新的文件外,每一個細菌都在重複地複製自己,並以指數級地複製,最終耗盡了所有的系統資源(如CPU,RAM ,硬碟等),從而拒絕用戶訪問這些可用的系統資源。

(6)病毒:病毒是一種攻擊性程序,採用把自己的副本嵌入到其它文件中的方式來感染計算機系統。當被感染文件載入進內存時,這些副本就會執行去感染其它文件,如此不斷進行下去。病毒常都具有破壞性作用,有些是故意的,有些則不是。通常生物病毒是指基因代碼的微小碎片:DNA或RNA,它可以借用活的細胞組織製造幾千個無缺點的原始病毒的複製品。計算機病毒就像生物上的對應物一樣,它是帶著執行代碼進入。感染實體,寄宿在一台宿主計算機上。典型的病毒獲得計算機磁碟操作系統的臨時控制,然後,每當受感染的計算機接觸一個沒被感染的軟體時,病毒就將新的副本傳到該程序中。因此,通過正常用戶間的交換磁碟以及向網路上的另一用戶發送程序的行為,感染就有可能從一台計算機傳到另一台計算機。在網路環境中,訪問其它計算機上的應用程序和系統服務的能力為病毒的傳播提供了滋生的基礎。

比如CIH病毒,它是迄今為止發現的最陰險的病毒之一。它發作時不僅破壞硬碟的引導區和分區表,而且破壞計算機系統flash BIOS晶元中的系統程序,導致主板損壞。CIH病毒是發現的首例直接破壞計算機系統硬體的病毒。

再比如電子郵件病毒,超過85%的人使用互聯網是為了收發,電子郵件,沒有人統計其中有多少正使用直接打開附件的郵件閱讀軟體。「愛蟲」發作時,全世界有數不清的人惶恐地發現,自己存放在電腦上的重要的文件、不重要的文件以及其它所有文件,已經被刪得乾乾淨淨。電腦   程序      病毒

3 惡意程序 -23種惡意程序手工清除方法

如今,惡意軟體及插件已經成為一種新的網路問題,惡意插件及軟體的整體表現為清除困難,強制安裝,甚至干攏安全軟體的運行。下面的文章中筆者就給大家講一部份惡意插件的手工清除方法,惡意插件實在太多,筆者無法做到一一講解,希望下面的這些方法能為中了惡意插件的網友提供一定的幫助。

  惡意插件Safobj

  相關介紹:

  捆綁安裝,系統速度變慢,沒有卸載項/無法卸載,強制安裝,干擾其它軟體正常運行,

  清除方法:

  重新註冊IE項,修復IE註冊。從開始->運行

  輸入命令 regsvr32 actxprxy.dll 確定

  輸入命令 regsvr32 shdocvw.dll 確定

  重新啟動,下載反間諜專家查有沒有ADWARE,spyware,木馬等並用其IE修復功能修復IE和註冊表,用流氓軟體殺手或微軟惡意軟體清除工具清除一些難卸載的網站插件。

  到down.45it.com下載KillBox.exe。在C:/Program Files/Internet Explorer/目錄下,把LIB目錄或Supdate.log刪除。

  跳窗網頁可能保留在HOSTS,一經上網就先觸發該網址為默認,就會自動打開,檢查HOSTS:

  用記事本在C:/WINDOWS/system32/drivers/etc/目錄下打開HOSTS

  在裡面檢查有沒有網址,有則刪除。

  或在前面加

  127.0.0.1

  保存后屏蔽掉。

  如果是彈出的信使:

  從開始->運行,輸入命令:

  net stop msg

  net stop alert

  即終止信使服務。

  惡意插件MMSAssist

  相關介紹:

  這其實是一款非常簡便易用的彩信發送工具,但它卻屬於流氓軟體!並採用了類似於木馬的Hook(鉤子)技術,常規的方法也很難刪除它,而且很佔用系統的資源。

  清除方法:

  方法一:它安裝目錄里第一個文件夾有個.ini文件,它自動從http://update.borlander.cn/updmms/mmsass.cab下載插件包,包里有albus.dll文件,UPX 0.80 - 1.24的殼,脫掉用16位進位軟體打開發現這個垃圾插件利用HOOK技術插入到explorer和iexplore中,開機就在後台自動運行。

  安全模式下,右鍵點擊我的電腦-管理-服務-禁用jmediaservice服務,刪除C:/windows/system32下的Albus.DAT,刪除C:/WINDOWS/SYSTEM32/DRIVERS下的Albus.SYS,刪除彩信通的安裝文件夾,開始-運行-regedit-查找所有MMSAssist並刪除,如果怕註冊表還有彩信通的垃圾存在,下載個超級兔子掃描下註冊表再一一刪除,你也可以試試超級兔子的超級卸載功能。

  要阻止它再次安裝,也很簡單。徹底刪除它之後,你在它原來的位置新建一個與它同名的文件夾,然後將這個文件夾的許可權設置為連繫統管理員都是「只讀」,取消「寫入」和「運行」的許可權。這樣它就再也裝不進我們的系統了。

  方法二:用冰刃Icesword v1.18顯示這些文件:c:/program files/mmsassist文件夾、windows/system32/albus.dat、windows/system32/drivers/Albus.SYS,把mmsassist文件夾及其子文件夾中的文件一一刪除,把albus.dat、albus.sys刪除。再到c:/program files下面看一下,mmsassist里又回來的兩個文件,不過不要緊張,刪除mmsassist文件夾,刷新,文件夾已經不見了。如果還不放心,可以進入regedit,搜索mmsassist,把帶有mmsassist相關字樣的鍵值一一清除!

  惡意插件popnts.dll

  相關介紹:

  求助SREng日誌整理出來的,主要表現是彈出廣告,在收到郵件后,發現這個東東跟前段時間整理的流氓軟體0848/baisoa幾乎一致,看來也只是一個毫無新意的升級版

  病毒文件及文件夾

  %windir%/winamps.exe

  %windir%/realupdate.exe

  %windir%/POPNTS.DLL

  %windir%/ScNotify.dll

  %system%/{pchome}/.setupf/

  添加註冊表啟動項

  [HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

  updatereal %windir%/realupdate.exe other

  winsamps %windir%/winamps.exe

  冒充微軟信息的啟動項

  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify]

  ScCardLogn %windir%/ScNotify.dll

  添加一個BHO

  [HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID]

  [HKEY_CLASSES_ROOT/CLSID]

  {DE7C3CF0-4B15-11D1-abed-709549C10000} %windir%/POPNTS.DLL

  清除方法:

  1、停止winamps.exe、realupdate.exe viruspe.com的進程

  2、刪除添加的所有註冊表信息

  3、重啟后刪除、或者使用Unlocker刪除所有的病毒文件

  PS:

  1、由於病毒變種,可能實際情況與本文描述不同,但清除方法是一定的 本內容來源於電腦硬體

  2、由於其具備download馬特徵,除此之外,可能伴隨著其他病毒或流氓軟體。

  惡意插件WBForm

  相關介紹:

  這個程序其實是一個IE的惡意插件,應該屬於Spyware/Adware之類的軟體,會隨著IE一起啟動,而且有時會彈出廣告窗口。

  清除方法:

  為了徹底刪除它,重新啟動電腦後不要運行IE,直接刪除Windows目錄下的adstate.dat和WindowsSystem32目錄下的mewin.dll文件(如果無法刪除請重新啟動進入安全模式再刪)。然後,運行註冊表編輯器(Regedit),搜索並刪除包含如下關鍵字的所有鍵值即可:3D898C55-74CC-4B7C-B5F1-45913F368388。

  惡意插件ACTIVEX

  清除方法:

  1、打開IE,進入"工具-internet選項"窗口,在"常規"選項上單擊"設置"按鈕彈出"設置"對話框,單擊"查看對象"可查看目前機器上已經安裝的一些ACTIVEX控制項。

  2、可以在"查看對象"窗口中直接刪除控制項,不過這樣刪除只能暫時清除騷擾,要想徹底屏蔽還需要了解它的SLSID值,找到惡意ACTIVEX插件,查看屬性,在常規選項卡上ID後面的就是SLSID了。

  3、新建一個REG腳本,內容如下:

  [hkey_local_machine/software/microsoft/internet explorer/activex compatibility/{x}](x就是在得到的SLSID)

  "compatibility flags"=dword:00000400

  保存后導入註冊表。

  「天下搜索」

  相關介紹:

  一開始從添加刪除裡面想刪除這個插件,一下子就死機了,baidu上搜索如何卸載,例子有很多,總結了下,不外乎二種:手工卸載、工具卸載。

  清除方法:

  一、手工卸載

  1,關閉IE瀏覽器,以免刪除時程序佔用而失敗。

  2,打開C:/WINDOWS/Downloaded Program Files/,你可以看到有個「天下搜索.ocx」控制項,右鍵屬性,選擇「相關內容」選項卡,列出了其他相關文件的路徑和文件名,我這裡顯示以下幾個文件:

  BARHELP22.0.DLL

  IEBAR22.0.DLL

  TOLLBAR.BMP

  HDTBAR.XML

  IEBAR.INF

  以上文件所在目錄都是C:/WINDOWS/Downloaded Program Files/

  但直接打開這個目錄卻又看不到上述文件:!

  3,開始-程序-附件-命令提示符

  彈出dos窗口,輸入以下命令:

  cd.. 回車

  cd.. 回車(退到C盤根目錄)

  cd winnt 回車

  cd Downloaded Program Files 回車

  你可以看到我們所要刪除的幾個文件

  然後用del命令刪除相關文件

  最後回到文件夾C:/WINDOWS/Downloaded Program Files/ 將「天下搜索.ocx」刪除。

  4,打開regedit,刪除HEKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer下的兩個關於IE toolbar 下的天下搜索鍵值(因為個人不喜歡用任何的搜索條,把兩個關於toolbar文件夾都刪掉了,記不起這兩個文件夾的名字了,自己慢慢在Internet Explorer 下面找)

  5,至此卸載完畢,你可以打開IE瀏覽器,發現已經沒有「天下搜索」了!


  偽lsass.exe

  相關介紹:

  這是個木馬病毒,生成程序不在C盤裡。即使你重裝了系統也還是會存在。

  清除方法:

  把系統盤放在光碟機里,在調為用硬碟啟動。重起機子,查找你的桌面上那個圖標花了,也就是和以前的不一樣了,明顯的不一樣的(或者是你中毒的那一天)。查看屬性,生成日期是什麼,記下來。然後就是比較麻煩的了,把你的電腦里除了C盤的所有盤只要是那個日期的全刪了。我的是12.8號的,我就把是12.8號創建的都刪了(即使你記得你的有些文件不是那天創建的,只要是那個日期就刪,因為它已經被感染了。)再者,還是刪系統文件C盤除外。

  把你的網線拔了,重起機子。記得是從硬碟啟動!把你機子上原有的殺毒軟體刪了,裝前面你下載的那個。掃描一遍你的電腦,有可疑的全刪。不能刪的用冰刀強行刪除。還要再刪一遍系統文件還是出盤以外的。觀察你的10分鐘c:WINDOWS/system32/com裡面還有沒有lsass.exe和smss.exe?這時候我的機子沒有了,真的沒有了呢 呵呵高興!

  重起,調為正常啟動(不用從硬碟啟動)可以了,我的殺毒過程就是這樣,中間可能有些步驟是不必要的。但我也說不好 所以就把解決的過程寫下來了,希望對大家有用。

  記得機子搞好后 用瑞星掃描下有沒有漏洞,有的話就趕快修復。還有360也會查找你的系統有沒有漏洞。

  偽realshed惡意程序

  相關介紹:

  廣告軟體。未經用戶允許,下載並安裝在用戶電腦上;無法徹底卸載;在後台收集用戶信息牟利,危及用戶隱私;頻繁彈出廣告,消耗系統資源,使其運行變慢等。

  清除方法:

  1 CTRL+ALT+DEL,結束REALSHED進程

  2 打開REAPLAYER,在設置內終止它的自動更新和消息中心的相關功能,具體自己摸索下了,我這裡沒裝這個大塊頭的播放軟體

  3 卸載REAPLAYER,並在相應目錄刪除它的文件夾,將它徹底消滅

  如果只是普通的病毒,這樣做應該可以搞定了,還不行的話,你在搜索內搜索realshed,注意打開搜索隱藏文件,或者在CMD窗口下執行DIR REALSHED*.* /A /S,找到這個垃圾的藏身之處

  剩下的就是用360的刪除工具把這個垃圾分屍了

  另外無論你怎麼操作,都記得要檢查下註冊表,搜索下realshed這幾個字元,把相關項給刪除了

  如果這樣還不行,那你可能要使用DriverView,檢查下你載入的驅動,把可疑的載入給刪除掉

  另外分析報告中以下幾個很可疑,你可以直接把他們清理了

  O41 - wgaalmvm - wgaalmvm - C:/WINDOWS/system32/drivers/wgaalmvm.sys - (running) - - - e67f70a1049c762ac72824683172790b

  O41 - boot001 - boot001 - C:/WINDOWS/system32/drivers/boot001.sys - (not running) - - -

  O41 - winio - WINIO - F:/winio.sys - (not running) - - -

  這3項非常可疑,尤其是BOOT001.SYS和WINIO.SYS,建議將其刪除並檢查註冊表清理之.

  SpyCrush

  相關介紹:

  安裝在「我的電腦」的C:/Program Files目錄下,名叫Video ActiveX Access,會把IE主頁全改為http://protectstand.com/,不會影響上網。!

  清除方法:

  1、開機進入安全模式(開機的時候一直不停的按F8鍵)。

  2、啟動Smit Fraud Fix(就是上面讓下載的那款軟體)。

  3、按2,然後enter

  4、它會問你是不是要清除Registry,按 Y。

  重新啟動電腦,OK,清理SpyCrush完畢

  zh130.com彈出窗口

  相關介紹:

  強制安裝、無法徹底刪除、彈出廣告

  清除方法:

  殺毒前關閉系統還原:右鍵 我的電腦 ,屬性,系統還原,在所有驅動器上關閉系統還原 打勾即可。

  清除IE的臨時文件:打開IE 點工具-->Internet選項 : Internet臨時文件,點「刪除文件」按鈕 ,將 刪除所有離線內容 打勾,點確定刪除。

  啟動項目 -->註冊表 的如下項

    [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]

   [N/A]

   [N/A]

  啟動項目 -->服務-->Win32服務應用程序 的如下項

  [Voolume Shadow Copyre2 / ServiceCopyre9]

  

  啟動項目 -->服務-->驅動程序(如果刪不掉,就設置類型為disabled!)

  [MSJDrvr / MSJDrvr]

  3 windows清理助手清理 清理

   dudu加速器

   相關介紹:

   DuDu下載加速器是由領先的P2P技術公司千橡互聯開發的一款基於P2P技術的極速下載軟體。

   清除方法:

  第一次安裝dudu后,在C:Program Files下生成HDP文件夾;在進程里表現出來的是mshta.exe和henbang.exe,分別對應的運行窗口和駐留在任務欄上的 henbang,啟動項里會添加「很棒小秘書」(手動安裝時會提示)。卸載它,先在「添加/刪除程序」里,發現有 HAP 和 很棒小秘書 ,直接執行卸載。

注意的是,先執行卸載「HAP」,然後再執行卸載「很棒小秘書」。否則,C:Program FilesHDP依然存在,且程序完整,執行的刪除沒有完成。最後檢查,往system32里寫入的三個文件(二個ini文件,一個hbhap.dll 文件),也成功刪除。

  所以,如果大家電腦里有這個軟體且一時無法卸載的或提示pupw.sys錯誤的,可主動安裝一次,然後按上面方法執行卸載。

  另檢查一下是否有C:Program FilesHBClient,如果有,說明系統里還裝有裝上 很棒通行證 ,可在添加刪除里執行卸載 Henbang Passport 。

  「很棒小秘書」卸載方法

  相關介紹:

  很棒小秘書是很棒公司的代表軟體,它是一個多功能的桌面信息和桌面商務平台。安裝之後,不論使用任何一種搜索引擎,屏幕下方都會彈出與搜索關鍵詞關聯的廣告,而且無論如何也無法徹底刪除。

  清除方法:

  雙擊"c:windowssystem32"下的uninstall.exe 或者henbangkiller.exe 即可,

  然後刪除這兩個文件和C:Program Fileshenbang文件夾。

  如果你是xp sp2版,可以按照以下方法關閉它:

  1:首先打開ie,然後選擇「internet選項」

  2:選擇「程序」頁,點擊「管理載入項」

  3:選中「UrlMonitor Class」,選擇禁用此項

  4:OK了

  最好運行msconfig將winup.exe的載入項去掉winup.exe

  相關介紹:

  木馬 winup.exe經常和「很棒小秘書」一同出現,所以也要一起清除。

  清除方法:

  1、在IE的工具里點"管理載入項",禁用Downloadvalue Class , EyeOnIe Class , URLMonitor Class

  2、在system32中運行一下henbangkiller.exe 再刪除 winhtp.dll hap.dll xpieknl.dll winup.exe

  3、在註冊表中刪除

  HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的 winup 鍵

  HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的 updata鍵

  在msconfig裡面還有一個可疑的東西:msstart.exe 在任務管理器里幹掉msstart的進程, 然後再到system32目錄下delete掉msstart.exe這個文件。

  卸載九魚快車

  相關介紹:

  九魚快車,彈窗網站,在瀏覽一些網站的時候,那些網站會有一些惡意代碼使你的電腦自動下載IE插件,插件就是這個彈窗廣告了。

  清除方法:

  1、撥掉網線,重啟電腦,進入安全模式(啟動電腦的時候按F8鍵進入)。

  2、在安全模式下,打開我的電腦,搜索九魚快車的名稱www.******.com 搜索「*」部分。將搜索出來的文件全部刪除掉。

  3、開始-運行,輸入msconfig,在啟動設置里的勾全部取消。退出而不重啟。

  4、進入註冊表(運行里輸入regedit),在註冊表裡搜索(*)部分,將搜索出來的值項全部刪除掉。

  winup.exe

  相關介紹:

  木馬 winup.exe經常和「很棒小秘書」一同出現,所以也要一起清除。

  清除方法:

  1、在IE的工具里點"管理載入項",禁用Downloadvalue Class , EyeOnIe Class , URLMonitor Class

  2、在system32中運行一下henbangkiller.exe 再刪除 winhtp.dll hap.dll xpieknl.dll winup.exe

  3、在註冊表中刪除

  HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的 winup 鍵

  HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的 updata鍵

  在msconfig裡面還有一個可疑的東西:msstart.exe 在任務管理器里幹掉msstart的進程, 然後再到system32目錄下delete掉msstart.exe這個文件。

 卸載九魚快車

  相關介紹:

  九魚快車,彈窗網站,在瀏覽一些網站的時候,那些網站會有一些惡意代碼使你的電腦自動下載IE插件,插件就是這個彈窗廣告了。

  清除方法:

  1、撥掉網線,重啟電腦,進入安全模式(啟動電腦的時候按F8鍵進入)。

  2、在安全模式下,打開我的電腦,搜索九魚快車的名稱www.******.com 搜索「*」部分。將搜索出來的文件全部刪除掉。

  3、開始-運行,輸入msconfig,在啟動設置里的勾全部取消。退出而不重啟。

  4、進入註冊表(運行里輸入regedit),在註冊表裡搜索(*)部分,將搜索出來的值項全部刪除掉

  卸載EeyOnIE/4199

  清除方法:

  1、下載本站的費爾強制刪除工具啟動電腦按F8進入安全模式.

  2、刪除以下文件.如果刪除不了就用費爾強制刪除工具.

  C:/WINDOWS/system32/biuky.dll

  C:/WINDOWS/system32/yeheadk.dll 這個文件在註冊表裡搜索一下4997cd60609f9aac63a4c1204501910e值

  C:/WINDOWS/system32/drivers/kanfsfm.sys 這個文件在註冊表裡搜索一c096dc989756c7d6a57f3fdc9bc3b9cf

  C:/WINDOWS/System32/DRIVERS/osrnc.sys

  C:/WINDOWS/system32/drivers/yeheadk.sys 註冊表 53f365b06c3b83af46bf951fbb05ee0a

  C:/WINDOWS/system32/drivers/aficthz.sys

  C:/WINDOWS/system32/drivers/dadi_g.sys

  提示:在開始--運行里輸入 regedit 進入註冊表.

  3、保險一下,在我的電腦和註冊表裡搜索一下:EeyOnIE和4199.如果有搜索到關於EeyOnIE和4199的文件,全部刪除掉.最後,我們不防進入啟動項設置(運行里輸入msconfig)...觀察一下啟動里有沒有這兩項相關的值.

  4、重新啟動電腦.卸載EeyOnIE/4199完畢.如果還未成功.清多清理一次..

卸載searchsite_pg/3839

  相關介紹:

  3839在線小遊戲的惡意插件

  清除方法:

  1、建議把這篇文章複製一下。放到記事本里。然後重新啟動電腦,進入安全模式(開機的時候按 F8) 。

  2、在安全模式下,打開我的電腦。然後點搜索,在搜索框里輸入host,將搜索到的文件打開觀察,應該其中一個有Host: 127.0.0.1 localhost #test這些字。這個不要刪了。刪除除了這個文件之外的其他HOST文件。

  3、刪除每個盤下目錄PROGRAFILE/3839在線小遊戲/3839.dll文件。

  4、在註冊表中(開始--運行 輸入regedit)搜索276999E8-02F7-4a55-ACFD-1F2E94402671和276999E8-02F7-4a55-ACFD-1F2E94402671還有{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A,將搜索出來的值項全部刪除。這都是searchsite_pg/3839惡意插件的。

  5、開始--運行 輸入msconfig 然後點裡面的一個啟動,在裡面把有關3839的內容的勾去掉。

  6、還是在我的電腦里搜索一下3839.dll ,這是為了保險起見。

  OK了。重啟下計算機。

  惡意插件ddoc

  相關介紹:ddoc惡意軟體和插件都殺不掉,「重啟」和「安全模式」都無法。表現廣告多。速度慢等。

  清除方法:

  1、用regworkshop搜索註冊表 關鍵字是「a64e86」,將搜索到的結果全部用冰刃icesword刪除掉,

  2、HKEY_CLASSES_ROOT/clsid

  還有在HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Ext/Stats

  和HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects

  這幾個目錄下的值項全部用以上兩個軟體來刪除.

  3、清理ddoc成功,重新啟動后看還有沒有ddoc.

  UUSEE病毒

  相關介紹:

  自動安裝,無卸載程序。

  清除方法:

  1、打開我的電腦,選工具——文件夾選項。

  然後點搜索 在第一個框里輸入UUSEE。查找出來的項全部刪除去。卸載UUSEE網路電視就這個樣,簡單!

  2、開註冊表(開始——運行:輸入regedit),在註冊表中查找uusee,查找出來的項值全部清除去。

  3、開始——運行:輸入msconfig,在啟動項里什麼也不留!切記!

  4、重新啟動后再重複以上步驟(除了第三步MSCONFIG之外)。

  5、卸載UUSEE網路電視成功,繼續自己該做的事!

  rpcc

  相關介紹:

  這是一款在用戶不知情的情況下自動安裝到用戶電腦上的一款惡意軟體,rpcc會自動訪問網路, 在屏蔽了之後只要你每次啟動IE,QQ之類的這個東西又自動訪問了。rpcc會不斷連接不同地址的25埠,,監聽不同地址的53埠。

  清除方法:

  1、斷開網路。

  2、運行「冰刃」,在結束病毒進程前,先勾選「禁止線程創建和禁止協件功能」,然後結束病毒進程。

  3、運行 「sc delete 21A4AFA0」,刪除病毒服務。

  4、刪除病毒文件

  5、打開 「卡卡上網安全助手」在「系統啟動項管理中」,刪除所有可疑項目。

  這時,會發現「rpcc.dll」這個文件刪除不了(在安全模式下也不能刪除),我們需要用 win98啟動盤,或者從光碟機啟動,切換到系統目錄,執行

  cd system32

  del rpcc.dll

  即可刪除。

  重啟后更新到最新病毒庫,然後全面殺毒。

  NB46工具欄

  相關介紹:

  NB46工具欄是在IE地址欄下方的一排如百度搜霸什麼的一樣的。進程NB46

  清除方法:

  1、進入安全模式(電腦啟動的時候按F8,有的電腦是按F2的)。在安全模式里用360檢測NB46文件名稱。

  2、將檢測到的文件名搜索,既是打開我的電腦,搜索,輸入檢測到的文件名,將搜索到的文件全部刪除去。然後再搜索NB46文件,不管是EXE還是DLL等文件,都刪除掉。

  3、進入啟動服務(開始-運行),輸入msconfig,選擇啟動,將與NB46相關的啟動項全部把勾取消。

  4、進入註冊表(開始-運行),輸入regedit,編輯-查找。輸入nb46和檢測到的文件名,見查找出來的值項全部刪除。

  5、重新啟動。

上一篇[DOS命令]    下一篇 [子像素]

相關評論

同義詞:暫無同義詞