簡介
惡意程式通常是指帶有攻擊意圖所編寫的一段程式。圖1提供了軟體威脅或惡意程式的完整分類。這些威脅可以分成兩個類別:需要宿主程式的威脅和彼此獨立的威脅。前者基本上是不能獨立於某個實際的應用程式、實用程式或系統程式的程式片段;後者是可以被作業系統調度和運行的自包含程式。也可以將這些軟體威脅分成不進行複製工作和進行複製工作的。簡單說,前者是一些當宿主程式調用時被激活起來完成一個特定功能的程式片段;後者或者由程式片段(病毒)或者由獨立程式(蠕蟲、細菌)組成,在執行時可以在同一個系統或某個其它系統中產生自身的一個或多個以後被激活的副本。當然,圖5.1中的邏輯炸彈或特洛伊術馬也可能只是一個病毒或蠕蟲的一部分。
種類
惡意程式主要包括:陷門、邏輯炸彈、特洛伊木馬、蠕蟲、細菌、病毒等等。
(1)陷門:計算機操作的陷門設定是指進入程式的秘密人口,它使得知道陷門的人可以不經過通常的安全檢查訪問過程而獲得訪問。程式設計師為了進行調試和測試程式,已經合法地使用了很多年的陷門技術。當陷門被無所顧忌的程式設計師用來獲得非授權訪問時,陷門就變成了威脅。對陷門進行作業系統的控制是困難的,必須將安全測量集中在程式開發和軟體更新的行為上才能更好地避免這類攻擊。
2)邏輯炸彈:在病毒和蠕蟲之前最古老的程式威脅之一是邏輯炸彈。邏輯炸彈是嵌入在某個合法程式裡面的一段代碼,被設定成當滿足特定條件時就會發作,也可理解為“爆炸”,它具有計算機病毒明顯的潛伏性。一旦觸發,邏輯炸彈的危害性可能改變或刪除數據或檔案,引起機器關機或完成某種特定的破壞工作。
(3)特洛伊木馬:特洛伊木馬是一個有用的,或表面上有用的程式或命令過程,包含了一段隱藏的、激活時進行某種不想要的或者有害的功能的代碼。它的危害性是可以用來非直接地完成一些非授權用戶不能直接完成的功能。洛伊木星馬的另一動機是數據破壞,程式看起來是在完成有用的功能(如:計算器程式),但它也可能悄悄地在刪除用戶檔案,直至破壞數據檔案,這是一種非常常見的病毒攻擊。
(4)蠕蟲:網路蠕蟲程式是一種使用網路連線從一個系統傳播到另一個系統的感染病毒程式。一旦這種程式在系統中被激活,網路蠕蟲可以表現得像計算機病毒或細菌,或者可以注入特洛伊木馬程式,或者進行任何次數的破壞或毀滅行動。為了演化複製功能,網路蠕蟲傳播主要靠網路載體實現。如:①電子郵件機制:蠕蟲將自己的複製品郵發到另一系統。②遠程執行的能力:蠕蟲執行自身在另一系統中的副本。③遠程註冊的能力:蠕蟲作為一個用戶註冊到另一個遠程系統中去,然後使用命令將自己從一個系統複製到另一系統。網路蠕蟲程式靠新的複製品作用接著就在遠程系統中運行,除了在那個系統中執行非法功能外二它繼續以同樣的方式進行惡意傳播和擴散。
網路蠕蟲表現出與計算機病毒同樣的特徵:潛伏、繁殖、觸發和執行期。繁殖階段一般完成如下的功能:①通過檢查主機表或類似的存儲中的遠程系統地址來搜尋要感染的其它系統。②建立與遠程系統的連線。③將自身複製到遠程系統並引起該複製運行。網路蠕蟲將自身複製到一個系統之前,也可能試圖確定該系統以前是否已經被感染了。在多道程式系統中,它也可能將自身命名成一個系統進程,或者使用某個系統管理員可能不會注意的其它名字來掩蔽自己的存在。和病毒一樣,網路蠕蟲也很難對付,但如果很好地設計並實現了網路安全和單機系統安全的測量,就可以最小化限制蠕蟲的威脅。
(5)細菌:計算機中的細菌是一些並不明顯破壞檔案的程式,它們的惟一目的就是繁殖自己。一個典型的細菌程式可能什麼也不做,除了在多道程式系統中同時執行自己的兩個副本,或者可能創建兩個新的檔案外,每一個細菌都在重複地複製自己,並以指數級地複製,最終耗盡了所有的系統資源(如CPU,RAM ,硬碟等),從而拒絕用戶訪問這些可用的系統資源。
(6)病毒:病毒是一種攻擊性程式,採用把自己的副本嵌入到其它檔案中的方式來感染計算機系統。當被感染檔案載入進記憶體時,這些副本就會執行去感染其它檔案,如此不斷進行下去。病毒常都具有破壞性作用,有些是故意的,有些則不是。通常生物病毒是指基因代碼的微小碎片:DNA或RNA,它可以借用活的細胞組織製造幾千個無缺點的原始病毒的複製品。計算機病毒就像生物上的對應物一樣,它是帶著執行代碼進入。感染實體,寄宿在一台宿主計算機上。典型的病毒獲得計算機磁碟作業系統的臨時控制,然後,每當受感染的計算機接觸一個沒被感染的軟體時,病毒就將新的副本傳到該程式中。因此,通過正常用戶間的交換磁碟以及向網路上的另一用戶傳送程式的行為,感染就有可能從一台計算機傳到另一台計算機。在網路環境中,訪問其它計算機上的應用程式和系統服務的能力為病毒的傳播提供了滋生的基礎。
比如CIH病毒,它是迄今為止發現的最陰險的病毒之一。它發作時不僅破壞硬碟的引導區和分區表,而且破壞計算機系統flash BIOS晶片中的系統程式,導致主機板損壞。CIH病毒是發現的首例直接破壞計算機系統硬體的病毒。
再比如電子郵件病毒,超過85%的人使用網際網路是為了收發,電子郵件,沒有人統計其中有多少正使用直接打開附屬檔案的郵件閱讀軟體。“愛蟲”發作時,全世界有數不清的人惶恐地發現,自己存放在電腦上的重要的檔案、不重要的檔案以及其它所有檔案,已經被刪得乾乾淨淨。電腦 程式 病毒
23種惡意程式手工清除方法
如今,惡意軟體及外掛程式已經成為一種新的網路問題,惡意外掛程式及軟體的整體表現為清除困難,強制安裝,甚至乾攏安全軟體的運行。下面的文章中筆者就給大家講一部份惡意外掛程式的手工清除方法,惡意外掛程式實在太多,筆者無法做到一一講解,希望下面的這些方法能為中了惡意外掛程式的網友提供一定的幫助。
惡意外掛程式Safobj
相關介紹:
捆綁安裝,系統速度變慢,沒有卸載項/無法卸載,強制安裝,干擾其它軟體正常運行,
清除方法:
重新註冊IE項,修復IE註冊。從開始->運行
輸入命令 regsvr32 actxprxy.dll 確定
輸入命令 regsvr32 shdocvw.dll 確定
重新啟動,下載反間諜專家查有沒有ADWARE,spyware,木馬等並用其IE修復功能修復IE和註冊表,用流氓軟體殺手或微軟惡意軟體清除工具清除一些難卸載的網站外掛程式。
到down.45it.com下載KillBox.exe。在C:/Program Files/Internet Explorer/目錄下,把LIB目錄或Supdate.log刪除。
跳窗網頁可能保留在HOSTS,一經上網就先觸發該網址為默認,就會自動打開,檢查HOSTS:
用記事本在C:/WINDOWS/system32/drivers/etc/目錄下打開HOSTS
在裡面檢查有沒有網址,有則刪除。
或在前面加
127.0.0.1
保存後禁止掉。
如果是彈出的信使:
從開始->運行,輸入命令:
net stop msg
net stop alert
即終止信使服務。
惡意外掛程式MMSAssist
相關介紹:
這其實是一款非常簡便易用的彩信傳送工具,但它卻屬於流氓軟體!並採用了類似於木馬的Hook(鉤子)技術,常規的方法也很難刪除它,而且很占用系統的資源。
清除方法:
方法一:它安裝目錄里第一個資料夾有個.ini檔案,它自動從http://update.borlander.cn/updmms/mmsass.cab下載外掛程式包,包里有albus.dll檔案,UPX 0.80 - 1.24的殼,脫掉用16位進制軟體打開發現這個垃圾外掛程式利用HOOK技術插入到explorer和iexplore中,開機就在後台自動運行。
安全模式下,右鍵點擊我的電腦-管理-服務-禁用jmediaservice服務,刪除C:/windows/system32下的Albus.DAT,刪除C:/WINDOWS/SYSTEM32/DRIVERS下的Albus.SYS,刪除彩信通的安裝資料夾,開始-運行-regedit-查找所有MMSAssist並刪除,如果怕註冊表還有彩信通的垃圾存在,下載個超級兔子掃描下註冊表再一一刪除,你也可以試試超級兔子的超級卸載功能。
要阻止它再次安裝,也很簡單。徹底刪除它之後,你在它原來的位置新建一個與它同名的資料夾,然後將這個資料夾的許可權設定為連繫統管理員都是“唯讀”,取消“寫入”和“運行”的許可權。這樣它就再也裝不進我們的系統了。
方法二:用冰刃Icesword v1.18顯示這些檔案:c:/program files/mmsassist資料夾、windows/system32/albus.dat、windows/system32/drivers/Albus.SYS,把mmsassist資料夾及其子資料夾中的檔案一一刪除,把albus.dat、albus.sys刪除。再到c:/program files下面看一下,mmsassist里又回來的兩個檔案,不過不要緊張,刪除mmsassist資料夾,刷新,資料夾已經不見了。如果還不放心,可以進入regedit,搜尋mmsassist,把帶有mmsassist相關字樣的鍵值一一清除!
惡意外掛程式popnts.dll
相關介紹:
求助SREng日誌整理出來的,主要表現是彈出廣告,在收到郵件後,發現這個東東跟前段時間整理的流氓軟體0848/baisoa幾乎一致,看來也只是一個毫無新意的升級版
病毒檔案及資料夾
%windir%/winamps.exe
%windir%/realupdate.exe
%windir%/POPNTS.DLL
%windir%/ScNotify.dll
%system%/{pchome}/.setupf/
添加註冊表啟動項
[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
updatereal %windir%/realupdate.exe other
winsamps %windir%/winamps.exe
冒充微軟信息的啟動項
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify]
ScCardLogn %windir%/ScNotify.dll
添加一個BHO
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID]
[HKEY_CLASSES_ROOT/CLSID]
{DE7C3CF0-4B15-11D1-abed-709549C10000} %windir%/POPNTS.DLL
清除方法:
1、停止winamps.exe、realupdate.exe viruspe.com的進程
2、刪除添加的所有註冊表信息
3、重啟後刪除、或者使用Unlocker刪除所有的病毒檔案
PS:
1、由於病毒變種,可能實際情況與本文描述不同,但清除方法是一定的 本內容來源於電腦硬體
2、由於其具備download馬特徵,除此之外,可能伴隨著其他病毒或流氓軟體。
惡意外掛程式WBForm
相關介紹:
這個程式其實是一個IE的惡意外掛程式,應該屬於Spyware/Adware之類的軟體,會隨著IE一起啟動,而且有時會彈出廣告視窗。
清除方法:
為了徹底刪除它,重新啟動電腦後不要運行IE,直接刪除Windows目錄下的adstate.dat和WindowsSystem32目錄下的mewin.dll檔案(如果無法刪除請重新啟動進入安全模式再刪)。然後,運行註冊表編輯器(Regedit),搜尋並刪除包含如下關鍵字的所有鍵值即可:3D898C55-74CC-4B7C-B5F1-45913F368388。
惡意外掛程式ACTIVEX
清除方法:
1、打開IE,進入"工具-internet選項"視窗,在"常規"選項上單擊"設定"按鈕彈出"設定"對話框,單擊"查看對象"可查看目前機器上已經安裝的一些ACTIVEX控制項。
2、可以在"查看對象"視窗中直接刪除控制項,不過這樣刪除只能暫時清除騷擾,要想徹底禁止還需要了解它的SLSID值,找到惡意ACTIVEX外掛程式,查看屬性,在常規選項卡上ID後面的就是SLSID了。
3、新建一個REG腳本,內容如下:
[hkey_local_machine/software/microsoft/internet explorer/activex compatibility/{x}](x就是在得到的SLSID)
"compatibility flags"=dword:00000400
保存後導入註冊表。
“天下搜尋”
相關介紹:
一開始從添加刪除裡面想刪除這個外掛程式,一下子就當機了,baidu上搜尋如何卸載,例子有很多,總結了下,不外乎二種:手工卸載、工具卸載。
清除方法:
一、手工卸載
1,關閉IE瀏覽器,以免刪除時程式占用而失敗。
2,打開C:/WINDOWS/Downloaded Program Files/,你可以看到有個“天下搜尋.ocx”控制項,右鍵屬性,選擇“相關內容”選項卡,列出了其他相關檔案的路徑和檔案名稱,我這裡顯示以下幾個檔案:
BARHELP22.0.DLL
IEBAR22.0.DLL
TOLLBAR.BMP
HDTBAR.XML
IEBAR.INF
以上檔案所在目錄都是C:/WINDOWS/Downloaded Program Files/
但直接打開這個目錄卻又看不到上述檔案:!
3,開始-程式-附屬檔案-命令提示符
彈出dos視窗,輸入以下命令:
cd.. 回車
cd.. 回車(退到C糟根目錄)
cd winnt 回車
cd Downloaded Program Files 回車
你可以看到我們所要刪除的幾個檔案
然後用del命令刪除相關檔案
最後回到資料夾C:/WINDOWS/Downloaded Program Files/ 將“天下搜尋.ocx”刪除。
4,打開regedit,刪除HEKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer下的兩個關於IE toolbar 下的天下搜尋鍵值(因為個人不喜歡用任何的搜尋條,把兩個關於toolbar資料夾都刪掉了,記不起這兩個資料夾的名字了,自己慢慢在Internet Explorer 下面找)
5,至此卸載完畢,你可以打開IE瀏覽器,發現已經沒有“天下搜尋”了!
偽lsass.exe
相關介紹:
這是個木馬病毒,生成程式不在C糟里。即使你重裝了系統也還是會存在。
清除方法:
把系統盤放在光碟機里,在調為用硬碟啟動。重起機子,查找你的桌面上那個圖示花了,也就是和以前的不一樣了,明顯的不一樣的(或者是你中毒的那一天)。查看屬性,生成日期是什麼,記下來。然後就是比較麻煩的了,把你的電腦里除了C糟的所有盤只要是那個日期的全刪了。我的是12.8號的,我就把是12.8號創建的都刪了(即使你記得你的有些檔案不是那天創建的,只要是那個日期就刪,因為它已經被感染了。)再者,還是刪系統檔案C糟除外。
把你的網線拔了,重起機子。記得是從硬碟啟動!把你機子上原有的防毒軟體刪了,裝前面你下載的那個。掃描一遍你的電腦,有可疑的全刪。不能刪的用冰刀強行刪除。還要再刪一遍系統檔案還是出盤以外的。觀察你的10分鐘c:WINDOWS/system32/com裡面還有沒有lsass.exe和smss.exe?這時候我的機子沒有了,真的沒有了呢 呵呵高興!
重起,調為正常啟動(不用從硬碟啟動)可以了,我的防毒過程就是這樣,中間可能有些步驟是不必要的。但我也說不好 所以就把解決的過程寫下來了,希望對大家有用。
記得機子搞好後 用瑞星掃描下有沒有漏洞,有的話就趕快修復。還有360也會查找你的系統有沒有漏洞。
偽realshed惡意程式
相關介紹:
廣告軟體。未經用戶允許,下載並安裝在用戶電腦上;無法徹底卸載;在後台收集用戶信息牟利,危及用戶隱私;頻繁彈出廣告,消耗系統資源,使其運行變慢等。
清除方法:
1 CTRL+ALT+DEL,結束REALSHED進程
2 打開REAPLAYER,在設定內終止它的自動更新和訊息中心的相關功能,具體自己摸索下了,我這裡沒裝這個大塊頭的播放軟體
3 卸載REAPLAYER,並在相應目錄刪除它的資料夾,將它徹底消滅
如果只是普通的病毒,這樣做應該可以搞定了,還不行的話,你在搜尋內搜尋realshed,注意打開搜尋隱藏檔案,或者在CMD視窗下執行DIR REALSHED*.* /A /S,找到這個垃圾的藏身之處
剩下的就是用360的刪除工具把這個垃圾分屍了
另外無論你怎么操作,都記得要檢查下註冊表,搜尋下realshed這幾個字元,把相關項給刪除了
如果這樣還不行,那你可能要使用DriverView,檢查下你載入的驅動,把可疑的載入給刪除掉
另外分析報告中以下幾個很可疑,你可以直接把他們清理了
O41 - wgaalmvm - wgaalmvm - C:/WINDOWS/system32/drivers/wgaalmvm.sys - (running) - - - e67f70a1049c762ac72824683172790b
O41 - boot001 - boot001 - C:/WINDOWS/system32/drivers/boot001.sys - (not running) - - -
O41 - winio - WINIO - F:/winio.sys - (not running) - - -
這3項非常可疑,尤其是BOOT001.SYS和WINIO.SYS,建議將其刪除並檢查註冊表清理之.
SpyCrush
相關介紹:
安裝在“我的電腦”的C:/Program Files目錄下,名叫Video ActiveX Access,會把IE主頁全改為http://protectstand.com/,不會影響上網。!
清除方法:
1、開機進入安全模式(開機的時候一直不停的按F8鍵)。
2、啟動Smit Fraud Fix(就是上面讓下載的那款軟體)。
3、按2,然後enter
4、它會問你是不是要清除Registry,按 Y。
重新啟動電腦,OK,清理SpyCrush完畢
zh130.com彈出視窗
相關介紹:
強制安裝、無法徹底刪除、彈出廣告
清除方法:
防毒前關閉系統還原:右鍵 我的電腦 ,屬性,系統還原,在所有驅動器上關閉系統還原 打勾即可。
清除IE的臨時檔案:打開IE 點工具-->Internet選項 : Internet臨時檔案,點“刪除檔案”按鈕 ,將 刪除所有脫機內容 打勾,點確定刪除。
啟動項目 -->註冊表 的如下項
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
[N/A]
[N/A]
啟動項目 -->服務-->Win32服務應用程式 的如下項
[Voolume Shadow Copyre2 / ServiceCopyre9]
啟動項目 -->服務-->驅動程式(如果刪不掉,就設定類型為disabled!)
[MSJDrvr / MSJDrvr]
3 windows清理助手清理 清理
dudu加速器
相關介紹:
DuDu下載加速器是由領先的P2P技術公司千橡互聯開發的一款基於P2P技術的極速下載軟體。
清除方法:
第一次安裝dudu後,在C:Program Files下生成HDP資料夾;在進程里表現出來的是mshta.exe和henbang.exe,分別對應的運行視窗和駐留在系統列上的 henbang,啟動項里會添加“很棒小秘書”(手動安裝時會提示)。卸載它,先在“添加/刪除程式”里,發現有 HAP 和 很棒小秘書 ,直接執行卸載。
注意的是,先執行卸載“HAP”,然後再執行卸載“很棒小秘書”。否則,C:Program FilesHDP依然存在,且程式完整,執行的刪除沒有完成。最後檢查,往system32里寫入的三個檔案(二個ini檔案,一個hbhap.dll 檔案),也成功刪除。
所以,如果大家電腦里有這個軟體且一時無法卸載的或提示pupw.sys錯誤的,可主動安裝一次,然後按上面方法執行卸載。
另檢查一下是否有C:Program FilesHBClient,如果有,說明系統里還裝有裝上 很棒通行證 ,可在添加刪除里執行卸載 Henbang Passport 。
“很棒小秘書”卸載方法
相關介紹:
很棒小秘書是很棒公司的代表軟體,它是一個多功能的桌面信息和桌面商務平台。安裝之後,不論使用任何一種搜尋引擎,螢幕下方都會彈出與搜尋關鍵字關聯的廣告,而且無論如何也無法徹底刪除。
清除方法:
雙擊"c:windowssystem32"下的uninstall.exe 或者henbangkiller.exe 即可,
然後刪除這兩個檔案和C:Program Fileshenbang資料夾。
如果你是xp sp2版,可以按照以下方法關閉它:
1:首先打開ie,然後選擇“internet選項”
2:選擇“程式”頁,點擊“管理載入項”
3:選中“UrlMonitor Class”,選擇禁用此項
4:OK了
最好運行msconfig將winup.exe的載入項去掉winup.exe
相關介紹:
木馬 winup.exe經常和“很棒小秘書”一同出現,所以也要一起清除。
清除方法:
1、在IE的工具里點"管理載入項",禁用Downloadvalue Class , EyeOnIe Class , URLMonitor Class
2、在system32中運行一下henbangkiller.exe 再刪除 winhtp.dll hap.dll xpieknl.dll winup.exe
3、在註冊表中刪除
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的 winup 鍵
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的 updata鍵
在msconfig裡面還有一個可疑的東西:msstart.exe 在任務管理器里幹掉msstart的進程, 然後再到system32目錄下delete掉msstart.exe這個檔案。
卸載九魚快車
相關介紹:
九魚快車,彈窗網站,在瀏覽一些網站的時候,那些網站會有一些惡意代碼使你的電腦自動下載IE外掛程式,外掛程式就是這個彈窗廣告了。
清除方法:
1、撥掉網線,重啟電腦,進入安全模式(啟動電腦的時候按F8鍵進入)。
2、在安全模式下,打開我的電腦,搜尋九魚快車的名稱www.******.com 搜尋“*”部分。將搜尋出來的檔案全部刪除掉。
3、開始-運行,輸入msconfig,在啟動設定里的勾全部取消。退出而不重啟。
4、進入註冊表(運行里輸入regedit),在註冊表里搜尋(*)部分,將搜尋出來的值項全部刪除掉。
winup.exe
相關介紹:
木馬 winup.exe經常和“很棒小秘書”一同出現,所以也要一起清除。
清除方法:
1、在IE的工具里點"管理載入項",禁用Downloadvalue Class , EyeOnIe Class , URLMonitor Class
2、在system32中運行一下henbangkiller.exe 再刪除 winhtp.dll hap.dll xpieknl.dll winup.exe
3、在註冊表中刪除
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的 winup 鍵
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的 updata鍵
在msconfig裡面還有一個可疑的東西:msstart.exe 在任務管理器里幹掉msstart的進程, 然後再到system32目錄下delete掉msstart.exe這個檔案。
卸載九魚快車
相關介紹:
九魚快車,彈窗網站,在瀏覽一些網站的時候,那些網站會有一些惡意代碼使你的電腦自動下載IE外掛程式,外掛程式就是這個彈窗廣告了。
清除方法:
1、撥掉網線,重啟電腦,進入安全模式(啟動電腦的時候按F8鍵進入)。
2、在安全模式下,打開我的電腦,搜尋九魚快車的名稱www.******.com 搜尋“*”部分。將搜尋出來的檔案全部刪除掉。
3、開始-運行,輸入msconfig,在啟動設定里的勾全部取消。退出而不重啟。
4、進入註冊表(運行里輸入regedit),在註冊表里搜尋(*)部分,將搜尋出來的值項全部刪除掉
卸載EeyOnIE/4199
清除方法:
1、下載本站的費爾強制刪除工具啟動電腦按F8進入安全模式.
2、刪除以下檔案.如果刪除不了就用費爾強制刪除工具.
C:/WINDOWS/system32/biuky.dll
C:/WINDOWS/system32/yeheadk.dll 這個檔案在註冊表里搜尋一下4997cd60609f9aac63a4c1204501910e值
C:/WINDOWS/system32/drivers/kanfsfm.sys 這個檔案在註冊表里搜尋一c096dc989756c7d6a57f3fdc9bc3b9cf
C:/WINDOWS/System32/DRIVERS/osrnc.sys
C:/WINDOWS/system32/drivers/yeheadk.sys 註冊表 53f365b06c3b83af46bf951fbb05ee0a
C:/WINDOWS/system32/drivers/aficthz.sys
C:/WINDOWS/system32/drivers/dadi_g.sys
提示:在開始--運行里輸入 regedit 進入註冊表.
3、保險一下,在我的電腦和註冊表里搜尋一下:EeyOnIE和4199.如果有搜尋到關於EeyOnIE和4199的檔案,全部刪除掉.最後,我們不防進入啟動項設定(運行里輸入msconfig)...觀察一下啟動里有沒有這兩項相關的值.
4、重新啟動電腦.卸載EeyOnIE/4199完畢.如果還未成功.清多清理一次..
卸載searchsite_pg/3839
相關介紹:
3839線上小遊戲的惡意外掛程式
清除方法:
1、建議把這篇文章複製一下。放到記事本里。然後重新啟動電腦,進入安全模式(開機的時候按 F8) 。
2、在安全模式下,打開我的電腦。然後點搜尋,在搜尋框裡輸入host,將搜尋到的檔案打開觀察,應該其中一個有Host: 127.0.0.1 localhost #test這些字。這個不要刪了。刪除除了這個檔案之外的其他HOST檔案。
3、刪除每個盤下目錄PROGRAFILE/3839線上小遊戲/3839.dll檔案。
4、在註冊表中(開始--運行 輸入regedit)搜尋276999E8-02F7-4a55-ACFD-1F2E94402671和276999E8-02F7-4a55-ACFD-1F2E94402671還有{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A,將搜尋出來的值項全部刪除。這都是searchsite_pg/3839惡意外掛程式的。
5、開始--運行 輸入msconfig 然後點裡面的一個啟動,在裡面把有關3839的內容的勾去掉。
6、還是在我的電腦里搜尋一下3839.dll ,這是為了保險起見。
OK了。重啟下計算機。
惡意外掛程式ddoc
相關介紹:ddoc惡意軟體和外掛程式都殺不掉,“重啟”和“安全模式”都無法。表現廣告多。速度慢等。
清除方法:
1、用regworkshop搜尋註冊表 關鍵字是“a64e86”,將搜尋到的結果全部用冰刃icesword刪除掉,
2、HKEY_CLASSES_ROOT/clsid
還有在HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Ext/Stats
和HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects
這幾個目錄下的值項全部用以上兩個軟體來刪除.
3、清理ddoc成功,重新啟動後看還有沒有ddoc.
UUSEE病毒
相關介紹:
自動安裝,無卸載程式。
清除方法:
1、打開我的電腦,選工具——資料夾選項。
然後點搜尋 在第一個框裡輸入UUSEE。查找出來的項全部刪除去。卸載UUSEE網路電視就這個樣,簡單!
2、開註冊表(開始——運行:輸入regedit),在註冊表中查找uusee,查找出來的項值全部清除去。
3、開始——運行:輸入msconfig,在啟動項里什麼也不留!切記!
4、重新啟動後再重複以上步驟(除了第三步MSCONFIG之外)。
5、卸載UUSEE網路電視成功,繼續自己該做的事!
rpcc
相關介紹:
這是一款在用戶不知情的情況下自動安裝到用戶電腦上的一款惡意軟體,rpcc會自動訪問網路, 在禁止了之後只要你每次啟動IE,QQ之類的這個東西又自動訪問了。rpcc會不斷連線不同地址的25連線埠,,監聽不同地址的53連線埠。
清除方法:
1、斷開網路。
2、運行“冰刃”,在結束病毒進程前,先勾選“禁止線程創建和禁止協件功能”,然後結束病毒進程。
3、運行 “sc delete 21A4AFA0”,刪除病毒服務。
4、刪除病毒檔案
5、打開 “卡卡上網安全助手”在“系統啟動項管理中”,刪除所有可疑項目。
這時,會發現“rpcc.dll”這個檔案刪除不了(在安全模式下也不能刪除),我們需要用 win98啟動盤,或者從光碟機啟動,切換到系統目錄,執行
cd system32
del rpcc.dll
即可刪除。
重啟後更新到最新病毒庫,然後全面防毒。
NB46工具列
相關介紹:
NB46工具列是在IE地址欄下方的一排如百度搜霸什麼的一樣的。進程NB46
清除方法:
1、進入安全模式(電腦啟動的時候按F8,有的電腦是按F2的)。在安全模式里用360檢測NB46檔案名稱稱。
2、將檢測到的檔案名稱搜尋,既是打開我的電腦,搜尋,輸入檢測到的檔案名稱,將搜尋到的檔案全部刪除去。然後再搜尋NB46檔案,不管是EXE還是DLL等檔案,都刪除掉。
3、進入啟動服務(開始-運行),輸入msconfig,選擇啟動,將與NB46相關的啟動項全部把勾取消。
4、進入註冊表(開始-運行),輸入regedit,編輯-查找。輸入nb46和檢測到的檔案名稱,見查找出來的值項全部刪除。
5、重新啟動。
