典型流氓软件清除方案集锦
系统安全专家
2006年是流氓软件猖獗的一年。这些软件采用特殊手段频繁弹出广告窗口、危及用户隐私,严重干扰用户的日常工作、数据安全和个人隐私。已成了“人人喊打的过街老鼠”,但是这只老鼠不是轻易之间就能将其查杀的,需要费一番周折。当然,对于这些“流氓软件”,还可以通过像给小孩打预防针类似的行为在电脑中将其免疫。
一、辨识流氓软件
1.什么是流氓软件
“流氓软件”是介于病毒和正规软件之间的软件。
计算机病毒指的是:自身具有、或使其他程序具有破坏系统功能、危害用户数据或其他恶意行为的一类程序。这类程序往往影响计算机使用,并能够自我复制。
正规软件指的是:为方便用户使用计算机工作、娱乐而开发,面向社会公开发布的软件。
“流氓软件”介于两者之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来实质危害。
2.流氓软件分类
根据不同的特征和危害,流氓软件主要有如下几类:
二、清除广告间谍类流氓软件
1.手动清除这里,我们以清除DUDU下载器为例进行介绍。DUDU下载器运行后会不时弹出“猫扑网”的广告,还会强占系统资源和网络带宽,下载文件时会将IE阻止。
(1)使用自卸载功能
DUDU下载器的卸载程序可以在系统“添加/删除程序”列表中找到,在该列表中找到它并单击“删除”按钮,将其卸载。
(2)清除注册表
运行regedit,打开“注册表编辑器”对话框,在注册表中查找与dudu、duduacc、ddd相关的项,然后逐项删除。
(3)清理文件夹中的文件
单击“开始→搜索”菜单项,运行Windows搜索程序,在搜索框中输入dudu、duduacc、ddd后会搜索到与DUDU下载器相关的程序,将其删除即可。
(4)去掉DUDU启动项
运行msconfig,打开“系统实用配置程序”对话框,单击“启动”选项卡,在其中去掉“DUDU下载器”选项。
(5)删除临时文件
删除C:\Documents and Settings\<用户名>\Local Settings\Temp、C:\Documents and Settings\<用户名>\Local Settings\Temporary Internet Files、C:\WINDOWS\Temp下的临时文件,重启电脑即可。
2.利用工具清除
(1)使用Garudio清除
运行Guardio(下载地址:http://www.smartpim.com/zh/guardio/),在其主界面窗口中单击“恶意软件清理”选项,在打开的对应窗口中已经列出了常见的流氓软件。
单击“检测”按钮,程序即开始检测你电脑中安装了哪些恶意软件,检测完成后单击“强制清除”按钮就可以将这些恶意软件清理出去,如图1所示。
另外,你也可以在该界面中直接选中所有120种恶意软件项,单击“强制清除”按钮后也可得到相同的结果。
(2)使用“超级兔子”清除
运行“超级兔子”(下载地址:http://www.pctutu.com/superr.asp),单击主界面中的“超级兔子清理王”,再单击“专业卸载”后,在右侧的窗口中会看到软件本身内置的流氓软件列表和检测到的流氓软件(用红色已安装表示),选中需要清除的对象,单击“下一步”按钮即可进行清理工作,如图2所示。
值得一提的是,“超级兔子”还提供了二次清除的功能,即在第一次不能清除的情况下,可在电脑重启后进入Windows安全模式,在该模式下进行清除。
3.广告间谍软件列表
三、清除浏览器劫持类流氓软件
1.手动清除
这里,我们以清除千橡公司的IE-Bar为例进行介绍。安装了IE-Bar的电脑,每隔几分钟只要你进行IE浏览操作,就会弹出烦人的广告有时甚至是黄色网站的指向链接页面。
(1)使用自卸载功能
一般情况下,该软件安装在C:\Program Files\Common Files\IE-Bar目录下,打开该文件夹后,会看到Uninstall.exe文件,运行该文件夹还会弹出卸载的认证码,输入并“确定”后会显示完全删除的提示。不过,如果它真这么容易卸载,它也不能被列为流氓软件了。
(2)删除虚拟驱动程序
鼠标右击“我的电脑”,选择“属性”命令,在打开对话框中单击“硬件”选项卡,单击“设备管理器”按钮,在打开对话框中单击“查看→显示隐藏的设备”菜单命令,在“非即插即用驱动程序”列表中可以看到两个驱动程序:moprot和msport,右击它并选择“停用”命令,“停用”后系统会提示重启,选择“否”,因为这两个驱动程序仍然在电脑中而没有删除,一旦重启,就又给了其重新复活的机会。
(3)删除驱动程序文件
在C:\Windows\System32\drivers目录下将moprot.sys和msport.sys删除,到此基本完成了对于IE-BAR的删除。
(4)善后处理
运行msconfig,打开“系统实用配置程序”对话框,单击“启动”选项卡,在其中去掉“IE-bar”选项。
按下Ctrl+Del+Alt组合键,在“任务管理器”中结束rundll32.exe进程,再将系统临时文件夹下的类似于3712b8e文件夹下的内容全部删除,但在删除过程中会出现该文件正在被用不能删除的提示,这时可以下载Unlocker软件将其删除。当然也可以进入DOS状态,将C:\Documents and Settings\<用户名>\Local Settings\Temp的该文件夹清除即可。
2.工具清除
(1)使用完美卸载清除
完全卸载(下载地址:http://www.killsoft.cn/products.html)专门提供了插件卸载功能,其可卸载的插件达到361种,其中流氓插件达到298种。
软件运行后,单击“插件清除”按钮,在出现的界面中单击“开始扫描”按钮,即可扫描到本机已安装的流氓软件,然后单击“卸载所有”按钮即可。卸载过程中会先检测流氓软件自带的卸载程序,用其卸载之后,完全卸载会进行二次卸载,最终达到彻底卸载的目的,如图3所示。
(2)使用360安全卫士清除
运行360安全卫士(下载地址:http://www.360safe.com/product.html),单击“查杀”按钮,经过一段时间的搜索,会将搜索结果显示在下面的列表框中,选中后,单击“立即清理”按钮即可。
3.浏览器劫持软件列表
四、清除恶意共享类流氓软件
1.解压斩除
有一些流氓软件是采用WinRAR的自解压安装功能,将正常的程序与垃圾插件捆绑在一起,压缩成一个自解压缩包可执行程序。当我们双击该压缩包,软件和插件就会同时被释放安装。
对于这类文件,可以将其防范这种捆绑插件最简单的方法是,在双击自解压缩包前,将压缩包拖到WinRAR中,然后按下Alt+I组合键,打开压缩文件的信息框,然后单击“注释”选项卡,如果注释中可以看到其他程序的安装脚本,就可以按照下面的方面来解决。这里以4.92版的RM电影文件修复专家为例来介绍。
按下Alt+I组合键打开压缩文件的信息框,单击“注释”选项卡,可以看到里边有这样的一段文本:
Path=hyrm
Setup=setup.exe hyrm.exe
Overwrite=1
Title=Rm电影文件修复专家(V4.92 免费版)安装
Text
其中,“Path”参数后边是解压缩释放路径;“Title”与“Text”分别是自解压缩窗口的标题和文本说明;我们需要注意的是“Setup”后的参数,如果这个参数后边的值为两个或以上,就可能捆绑了程序,而本例中为:setup.exe hyrm.exe,于是基本可以判定该软件捆绑了其他程序,如图4所示。
在该程序上单击鼠标右键,选择解压缩到当前文件夹下,从图片里我们已经可以知道,hyrm.exe为RM电影文件修复专家;yqu.exe双击之后会出现是否安装易趣娱乐对话框,删掉它。然后把主程序hyrm.exe移出来,双击运行即可安装。
2.专业安装程序反安装斩除
目前大多数的软件安装程序都是使用一些安装程序制作工具制作,在制作安装程序过程中捆绑了垃圾插件。对于这类软件,我们可以尝试用这些安装程序制作工具的反安装程序,来对这些打包好的程序进行解压。
常见的解包工具对应关系见下表:
除了上面介绍的解包工具外,Universal Extractor(简称UE,下载地址为:http://www.skycn.com/soft/29832.html)也是很不错的万能工具,它不仅支持多种压缩文件的解压,还支持用WinRAR、Inno Setup制作的安装程序。下面我们就以该软件解压极品五笔为例来说明。
运行UE,在“Archive/Installer to extract”处添加极品五笔的执行程序jpwb.exe,在“Target directory”处设置解压文件存放位置,单击“OK”按钮即可。
解压完成后,我们可以看到在该文件夹下有WIN(系统文件)、APP(应用文件)、Temp(临时文件)等5个文件夹,另外还有一个install_script.iss文件,用记事本打开该文件,在[Run]字段下,可以看到软件在安装时会安装{tmp}文件下的雅虎助手,如图5所示。
其中的“/s”参数表示默认安装。再观察一下{tmp}文件夹,正好对应着Ebay和雅虎两个文件,将System和System32下的文件复制到相应的目录,就可以安装上该输入法了。如果想到将该程序重新打包,可将{tmp}文件夹删除,再将[Run]下边与雅虎助手相关的字段删除即可。
3.恶意共享软件列表
