自当年3721这个小插件凭借着中文上网的口号推出后,谁也没有想到他会迅速走红,更没有想到数年后他会成为中国互联网进入流氓时代的里程碑……进入2006年,大批“流氓软件”不断涌现已呈井喷之势,超过90%的网民都被流氓软件骚扰过。强制安装、频繁弹出广告窗口、严重干扰用户日常工作、无法卸载成了众多流氓软件的典型特征,普通网民面对众多流氓软件束手无策。面对流氓软件的无穷侵蚀,我们要坚决地对他们说“不”。让流氓软件彻底远离我们的计算机。
然而,在清除流氓软件的过程中,网民们总是遭受着诸多困扰。明明已经卸载了软件,可还是有无数的垃圾文件残留在电脑中,明明已将所有相关文件手工清除,可电脑重启后还是会自动安装。有什么办法可以最彻底将他们删除呢?
下面笔者将2006年度最为泛滥的十款流氓软件分别罗列出来,为大家逐一讲解分析,如何将这些流氓软件彻底清除。
NO.1:彻底卸载3721上网助手
中招现场:很多人上网的时候总会发现电脑会经常跳出一个3721的安装窗口,不少网民还为此想出了很多方法屏蔽它。而3721公司进一步改进了他们的“反”屏蔽技术,即使用户选择了卸载该客户端,网络实名的客户端也将“永久”的驻留在用户的计算机系统中。除非用户重新安装其计算机系统,否则,无法手动清除。
彻底卸载:针对目前最新版本的3721上网助手删除步骤如下:
(1)首先运行3721自己提供的删除程序。可以删掉大部分的文件。
(2)然后从DOS中启动电脑,删除残存文件,如CnsMin.dll,CnsMinKP*.*等。删除可疑的目录“Program Files\3721”、“drivers”目录。
(3)启动Windows系统,进入桌面时Windows会报告一些模块找不到的链接错误,此时我们不需理会。运行regedit命令,进入注册表编辑器。找到[HKEY_CURRENT_USER\Software\3721]、[HKEY_LOCAL_MACHINE\Windows\CurrentVersion\Run SYSTEM\CurrentControlSet]键值,将其删除。
图1 删除注册表中的残留子键
(4)最后重新启动电脑,3721则彻底的从你的电脑中清除了。
NO.2:封杀无孔不入的“淘宝网广告”
中招现场:淘宝网没给用户安装任何的软件,但你在打开页面的时候,他都会自动弹出广告。这样提升了他们的点击量,达到了宣传的目的,同时他们也可以通过捆绑弹出页面或者广告收益。但这样的行为确严重影响了网民的计算机使用。
彻底封杀:
方法一:使用MyIE、Maxthon等浏览工具的封杀
你只需在MyIE或者Maxthon里的“弹出窗口过滤”和“网页内容过滤”里面同时添加“*unionsky*” 的过滤条目就可以完全阻止恶心的淘宝广告了,因为它的广告总代理就是“www.unionsky.cn”。
图2 添加“unionsky” 的过滤条目
方法二:IE用户的永久免疫方法:
(1)用IE的可以搜索系统盘的Hosts文件,用记事本打开后在适当位置添加以下语句:
127.0.0.1www.unionsky.cn#掏宝网广告代理
127.0.0.1www.allyes.com#掏宝网广告代理
(2)打开WINDOWS系统文件夹,依次找到“C:\WINDOWS\system32\drivers\etc\hosts”文件(98系统在WINDOWS目录下),用任意文本编辑器打开此文件,在最后一行添加:
127.0.0.1www.unionsky.cn#掏宝网广告代理
127.0.0.1www.allyes.com#掏宝网广告代理
现在保存设置,重新启动计算机,这样你的IE就永久免疫了。
注意:Windows XP系统不用重新启动。
NO.3:铲除屡禁不止的“易趣”
中招现场:前段时间,笔者下载了一个叫《夜宴》的电影后,打开观看时,瑞星报告发现病毒。杀毒后电脑桌面就出现一个易趣购物的图标,在控制面板中进行了卸载,原以为大功告成。可次日瑞星又国报病毒,杀毒后又出现这个易趣购物的图标,反复几次后都出现同一现象。即软件卸载后,易趣随着电脑的重新启动自动安装进你的系统。
彻底卸载:这里我们推荐大家使用最新版本的超级兔子魔法设置来删除你电脑中的“易趣”流氓软件。首先我们下载并安装“超级兔子魔法设置”。在兔子的主界面中选择“超级兔子清理王→专业卸载”,在这里选中“易趣”并点击“下一步”按钮,系统则完成了对其的卸载。此时我们重新启动电脑,将不会再重新出现上面的病毒报错和易趣图标,彻底将流氓软件清除。
图3 超级兔子专业卸载
NO.4:清除Dudu下载加速器秘招
中招现场:几个星期以前,我的IE开始不定时弹出猫扑网广告。可我记忆中并没有安装dudu加速器啊。 随后,我用遍了绝大部分木马查杀工具,没有任何效果,这个广告总是在我上网时弹出来。上网一查,发现自己中了千橡公司的木马了。原来不知什么时候Dudu下载加速器已经自动安装上了我的电脑,我还没察觉。
彻底卸载:Dudu下载加速器会在“C:Program Files”目录下自动生成HDP文件夹。在进程里表现出来的是MSHTA.exe和henbang.exe,分别对应的运行窗口和驻留在任务栏上的henbang,启动项里会添加“很棒小秘书”(手动安装时会提示)。卸载它,先在“添加/删除程序”里,发现有HAP和很棒小秘书 ,然后直接执行卸载。
图4 任务管理器中出现奇怪的进程
注意:应先执行卸载“HAP”,然后再执行卸载“很棒小秘书”。否则,“C:Program Files”目录下的HDP文件夹依然存在,且程序完整。检查“system32”文件夹,找到两个ini文件,一个hbhap.dll 文件,将他们全部删除即可。
最后再检查一下“C:Program Files”目录下是否有HBClient文件夹。如果有,说明系统里还装有“很棒通行证”,可在“添加/删除程序”里执行卸载Henbang Passport,也将其完整卸载。
NO.5:彻底删除顽固的CNNIC中文上网客户端
中招现场:中文上网插件大多捆绑在其他软件中进行无提示安装,笔者的电脑不幸中招后,利用软件自带的卸载程序卸载,此时该软件为我们提示已经成功卸载。满以为删掉了可恶的中文上网,没想到他依然进驻在我的电脑中,还能继续运行,是个明显的谎报。
图5 软件谎报卸载成功提示
彻底卸载:有什么办法可以彻底卸载吗?其实也很简单,我们按照如下操作即可。
首先启动Windows自带的命令行控制台,屏幕上会出现如下代码:
.......
1.C:\Windows
........
Enter For exit
如果我们的中文上网安装在C盘,我们就选择“1”,然后按回车按钮。此时系统会提示你输入Administrator的密码。 输入后,过一会儿就可以进入DOS的命令行模式。这里我们输入命令进入“C:\Windows\System32\Drivers”目录,输入如下命令:
CD Windows<回车>
CD SYSTEM32<回车>
CD Drivers<回车>
然后删除然后删除相应的文件“DEL CDNProt.sys”、“DEL CDNTran.SYS”即可。
最后我们重新启动计算机到安全模式,输入Regedit命令,打开注册表管理。删除[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdnprot]、[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdntran]子键与[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]子键下的键值“CDNUP.EXE”则完成了所有的操作,现在CNNIC中文上网已经彻底从你的电脑中删除了。
图6 删除CDNUP.EXE键值项
NO.6:十分钟彻底查杀流氓“青娱乐”
中招现场:笔者下载了一个软件,DOWN下来后立马安装,软件安装完后发现只出现“青娱乐”软件播放器,可我下载的并不是这个软件阿?既然不是那就先删了它吧。笔者来到控制面板找到“青娱乐”选项,并将他删除。但电脑重新启动后还是出现了,系统无法将他删除。
彻底卸载:首先在控制面板中打开“添加/删除程序”,卸掉能卸的垃圾软件。然后重新启动电脑时进入安全模式。用RogueCleaner软件(恶意软件清理助手)进行清理。在用木马杀毒扫描你的计算机,直接进入病毒所在的文件夹删除文件。在用Windows优化大师清理没用的注册表信息和垃圾文件。现在重新启动你的电脑,所有问题都解决了。青娱乐将不会再出现在你的桌面。
图7 RogueCleaner删除青娱乐软件
NO.7:很棒小秘书流氓软件查杀全攻略
中招现场:上周,笔者突然发现自己的的电脑打开网页及关闭网页特慢。怀疑中病毒了,急忙用正版的瑞星杀毒,没有发现不良迹象。 我用其他查毒软件也没有发现什么?感觉很奇怪。平时自己从来不安装插件,怎么回事呢?我用瑞星防火墙软件,发现在启动项中有两个奇怪的项目,根本不能取消,我找到这两个文件,我在DOS下清除了,同时我也清除了有关的系统文件,我对一些进程不是很了解,重新启动后,我发现我不能上网了,最后没有办法重新安装。后经专家的诊断,原来我是中了很棒小秘书这款流氓软件造成的网页浏览缓慢。
彻底卸载:很棒小秘书在运行的时候还自带了一个winup.exe的木马,所以我们在卸载时,一定要全部删除。才可以达到清除它的目的。操作步骤如下:
(1)卸载很棒小秘书
首先打开IE,然后选择“internet选项” 选择“程序”页,点击“管理加载项” 选中“UrlMonitor Class”选项,选择禁用此项,一切就OK了。
图8 禁用“UrlMonitor Class”选项
(2)卸载附带木马“winup.exe”
首先在IE的工具里点击“管理加载项”,禁用“Downloadvalue Class”、“EyeOnIe Class”、“URLMonitor Class”项。然后在system32中运行一下henbangkiller.exe可执行文件,再删除 “winhtp.dll”、“hap.dll” 、“xpieknl.dll”、“winup.exe”。最后在注册表中删除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]下的 “winup”键,[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]下的“updata”键。 在msconfig里面还有一个可疑的东西“msstart.exe”,任务管理器里关闭msstart进程, 然后再到system32目录下删除掉“msstart.exe”这个文件。到这里“很棒小秘书”已经彻底从你的电脑中删除,你再也不必担心他会对你进行骚扰。
NO.8:百度超级搜霸查杀秘籍
中招现场:近段时间,感觉上网总是十分缓慢,电脑还老出现死机现象,怀疑中的木马。下了一个最新的norton杀毒软件,一顿查杀后,软件总是提示BDGuard.SYS的病毒警告。再百度上一搜索,竟然是百度搜霸流氓软件,在控制面板中也找不到该程序的卸载文件。遇到这样的流氓软件也够倒霉的。
彻底卸载:首先我们找到“C:\program files”路径,找到“baidu”的文件夹。进入该文件夹,全选文件及文件夹,直接将他们删除。
然后进入“C:\windows\system32\drivers”目录下。找到“bdasup.sys”和“bdguard.sys.bd”文件将他们全部删除。如果这里无法删除,笔者建议将你的电脑启动到纯DOS下,输入命令“del C:\windows\system32\drivers\bdguard.sys”,将其删除。然后就是删掉注册表里的残余项目。这里推荐大家使用“流氓软件清理助手”。他可以完成剩下的删除操作。使用以上的方法你在也不用担心被百度超级搜霸流氓了。
图9 纯DOS删除SYS文件
NO.9:三步清除一搜工具条
中招现场:笔者的工作与上网密不可分,可就在不久前遇到了头疼的事情。在使用IE的时候,总是提示程序出错,一般情况下,停留在页面较丰富的网页时容易出现。检查进程的时候发现没有可疑现象,那是怎么造成的呢?仔细看看,原来我的IE不知什么时候被装上了“一搜工具条”。会不会是它造成的问题呢?心想想删除掉再看看是不是问题能够解决,可费了九牛二虎之力还是无法卸载。
彻底卸载:其实我们是可以完全卸载掉它的,只需按如下操作进行即可。
第一步:点击“开始→运行”命令。打开运行对话框。
第二步:如果你使用的是Windows 98系统,输入“notepad %SystemRoot%\hosts”命令回车即可。如果你使用的是Windows 2000/XP系统,输入“notepad %SystemRoot%\system32\drivers\etc\hosts”命令回车即可。
第三步:在打开的“hosts”记事本中保留包含127.0.0.1的行,把其它行全部删除。保存修改后,重新启动计算机则彻底删除了一搜工具条。
图10 编辑“hosts”记事本
NO.10:不传秘笈,对网络猪彻底免疫
中招现场:重装系统后,笔者安装了一款名为realplayer10中文版的软件,在没让我选择的情况下,自动为我安装了网络猪程序。桌面上也出现了网络猪的快捷图标。笔者深知网络猪属十大流氓软件行列,找资料问朋友,用尽了一切办法还是无法将他彻底卸载。他总是随着电脑的启动而自动安装。十分让人头疼。
彻底卸载:下面笔者对大家介绍彻底清除网络猪、划词搜索的详细方法。
(1)首先在控制面板中找到“添加/删除程序”,并找到“划词搜索”选项,如果有的话就将他卸载,如果没有的话,请继续按照下面的步骤完成。
(2)重新启动你的电脑,在这里我们需要使用到Windows的恢复控制台。插入一张系统的安装光盘,在BIOS中将其改为光驱启动。当出现“欢迎安装”字样时,使用键盘按“R”键进入控制台。输入“1”(就是你的C盘目录的位置),然后输入管理员密码,则可以进入DOS界面。
(3)在DOS界面中我们我们首先输入命令”cd system32/drivers” 进入drivers目录,分别输入命令“del abhcop.sys”、“del hcalway.sys”,最后输入命令“exit”,系统此时会重新启动你的电脑。
图11 DOS中删除SYS流氓文件
注意:如果无法删除,应该是文件属性被设置为只读权限,使用“attrib –R filename”命令可以去除只读属性,再尝试删除删除。
(4)重新启动电脑后进入Windows界面,分别删除以下目录。
%ProgramFiles%\wsearch
%ProgramFiles%\HuaCi
%UserProfile%\Start Menu\Programs\Startup\划词搜索.Ink
%UserProfile%\Start Menu\Programs\划词搜索.lnk
注意:这时候也可以使用你的杀毒软件先杀毒。如果你的norton或卡巴斯基一开始能够扫描到病毒,但无法删除的话,这时候应该可以了。当然如果还是删除不了,建议你在安全模式下尝试删除。
(5)最后我们只需在运行中输入regedit命令,然后删除以下键值就大功告成了。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中的"MoveSearch" = "%ProgramFiles%\wsearch\Search.exe"键值。
[HKEY_CLASSES_ROOT\CLSID\{594BE7B2-23B0-4FAE-A2B9-0C21CC1417CE}]
[HKEY_CLASSES_ROOT\Interface\{4E1ACE40-F681-4CC4-A7C0-AD1E6C9AD86F}]
[HKEY_CLASSES_ROOT\Interface\{A07E6B9B-BB30-4381-A9D8-FABB0648BCEF}]
[HKEY_CLASSES_ROOT\TypeLib\{FD536575-73F7-42A3-9E9F-11688F1A006A}]
[HKEY_CLASSES_ROOT\TypeLib\{C5CE084B-31E0-4B34-A33A-82B4EA913CF8}]
[HKEY_CLASSES_ROOT\SearchM.Com]
[HKEY_CLASSES_ROOT\SearchM.Com.1]
[HKEY_CLASSES_ROOT\SearchM.Search]
[HKEY_CLASSES_ROOT\SearchM.Search.1]
[HKEY_CURRENT_USER\Software\Pig Move Search]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CDSearch]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\划词搜索]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\abhcop]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hcalway]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\abhcop]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hcalway]
注意:以上子键如果没有的则不用删除。
以上,就是笔者带给大家的2006年最为猖狂的十款流氓软件的查杀攻略。除了这些查杀,防范措施也是很重要的一件事。这里笔者呼吁大家,尽量不要在网上浏览这些流氓网站,而且网上浏览提示装载插件时,也需要看清楚再确认。这样才能更好的保护自己的电脑,防患于未然。
