手到擒来 23种恶意插件手工清除方法(1)

相关文章：
手到擒来 23种恶意插件手工清除方法（1）
手到擒来 23种恶意插件手工清除方法（2）
手到擒来 23种恶意插件手工清除方法（3）
　　如今，恶意软件及插件已经成为一种新的网络问题，恶意插件及软件的整体表现为清除困难，强制安装，甚至干拢安全软件的运行。下面的文章中笔者就给大家讲一部份恶意插件的手工清除方法，恶意插件实在太多，笔者无法做到一一讲解，希望下面的这些方法能为中了恶意插件的网友提供一定的帮助。
　　恶意插件Safobj
　　相关介绍：
　　捆绑安装,系统速度变慢,没有卸载项/无法卸载,强制安装,干扰其它软件正常运行,
　　清除方法：
　　重新注册IE项，修复IE注册。从开始->运行
　　输入命令 regsvr32 actxprxy.dll 确定
　　输入命令 regsvr32 shdocvw.dll 确定
　　重新启动，下载反间谍专家查有没有ADWARE，spyware，木马等并用其IE修复功能修复IE和注册表，用流氓软件杀手或微软恶意软件清除工具清除一些难卸载的网站插件。
　　到down.45it.com下载KillBox.exe。在C:\Program Files\Internet Explorer\目录下，把LIB目录或Supdate.log删除。
　　跳窗网页可能保留在HOSTS，一经上网就先触发该网址为默认，就会自动打开，检查HOSTS：
　　用记事本在C:\WINDOWS\system32\drivers\etc\目录下打开HOSTS
　　在里面检查有没有网址，有则删除。
　　或在前面加
　　127.0.0.1
　　保存后屏蔽掉。
　　如果是弹出的信使：
　　从开始->运行，输入命令：
　　net stop msg
　　net stop alert
　　即终止信使服务。
　　恶意插件MMSAssist
　　相关介绍：
　　这其实是一款非常简便易用的彩信发送工具，但它却属于流氓软件!并采用了类似于木马的Hook(钩子)技术，常规的方法也很难删除它，而且很占用系统的资源。
　　清除方法：
　　方法一：它安装目录里第一个文件夹有个.ini文件，它自动从http://update.borlander.cn/updmms/mmsass.cab下载插件包，包里有albus.dll文件，UPX 0.80 - 1.24的壳，脱掉用16位进制软件打开发现这个垃圾插件利用HOOK技术插入到explorer和iexplore中，开机就在后台自动运行。
　　安全模式下，右键点击我的电脑-管理-服务-禁用jmediaservice服务，删除C:\windows\system32下的Albus.DAT，删除C:\WINDOWS\SYSTEM32\DRIVERS下的Albus.SYS，删除彩信通的安装文件夹，开始-运行-regedit-查找所有MMSAssist并删除，如果怕注册表还有彩信通的垃圾存在，下载个超级兔子扫描下注册表再一一删除，你也可以试试超级兔子的超级卸载功能。
　　要阻止它再次安装，也很简单。彻底删除它之后，你在它原来的位置新建一个与它同名的文件夹，然后将这个文件夹的权限设置为连系统管理员都是“只读”，取消“写入”和“运行”的权限。这样它就再也装不进我们的系统了。
　　方法二：用冰刃IceSword v1.18显示这些文件：c:\program files\mmsassist文件夹、windows\system32\albus.dat、windows\system32\drivers\Albus.SYS，把mmsassist文件夹及其子文件夹中的文件一一删除，把albus.dat、albus.sys删除。再到c:\program files下面看一下，mmsassist里又回来的两个文件，不过不要紧张，删除mmsassist文件夹，刷新，文件夹已经不见了。如果还不放心，可以进入regedit，搜索mmsassist，把带有mmsassist相关字样的键值一一清除!
　　好了，上面的方法大家可以试试，祝愿中招的兄弟姐妹们早日恢复迅捷流畅的操作!
　　恶意插件popnts.dll
　　相关介绍：
　　求助SREng日志整理出来的，主要表现是弹出广告，在收到邮件后，发现这个东东跟前段时间整理的流氓软件0848\baisoa几乎一致，看来也只是一个毫无新意的升级版
　　病毒文件及文件夹
　　%windir%\winamps.exe
　　%windir%\realupdate.exe
　　%windir%\POPNTS.DLL
　　%windir%\ScNotify.dll
　　%system%\{pchome}\.setupf\
　　添加注册表启动项
　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　updatereal %windir%\realupdate.exe other
　　winsamps %windir%\winamps.exe
　　冒充微软信息的启动项
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
　　ScCardLogn %windir%\ScNotify.dll
　　添加一个BHO
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
　　[HKEY_CLASSES_ROOT\CLSID]
　　{DE7C3CF0-4B15-11D1-ABED-709549C10000} %windir%\POPNTS.DLL
　　清除方法：
　　1、停止winamps.exe、realupdate.exe viruspe.com的进程
　　2、删除添加的所有注册表信息
　　3、重启后删除、或者使用Unlocker删除所有的病毒文件
　　PS：
　　1、由于病毒变种，可能实际情况与本文描述不同，但清除方法是一定的 本内容来源于电脑硬件
　　2、由于其具备download马特征，除此之外，可能伴随着其他病毒或流氓软件。
　　恶意插件WBForm
　　相关介绍：
　　这个程序其实是一个IE的恶意插件，应该属于Spyware/Adware之类的软件，会随着IE一起启动，而且有时会弹出广告窗口。
　　清除方法：
　　为了彻底删除它，重新启动电脑后不要运行IE，直接删除Windows目录下的adstate.dat和WindowsSystem32目录下的mewin.dll文件(如果无法删除请重新启动进入安全模式再删)。然后，运行注册表编辑器(Regedit)，搜索并删除包含如下关键字的所有键值即可：3D898C55-74CC-4B7C-B5F1-45913F368388。
　　恶意插件ACTIVEX
　　清除方法：
　　1、打开IE，进入"工具-internet选项"窗口，在"常规"选项上单击"设置"按钮弹出"设置"对话框，单击"查看对象"可查看目前机器上已经安装的一些ACTIVEX控件。
　　2、可以在"查看对象"窗口中直接删除控件，不过这样删除只能暂时清除骚扰，要想彻底屏蔽还需要了解它的SLSID值，找到恶意ACTIVEX插件，查看属性，在常规选项卡上ID后面的就是SLSID了。
　　3、新建一个REG脚本，内容如下：
　　[hkey_local_machine\software\microsoft\internet explorer\activex compatibility\{x}](x就是在得到的SLSID)
　　"compatibility flags"=dword:00000400
　　保存后导入注册表。
　　“天下搜索”
　　相关介绍：
　　一开始从添加删除里面想删除这个插件，一下子就死机了，baidu上搜索如何卸载，例子有很多，总结了下，不外乎二种：手工卸载、工具卸载。
　　清除方法：
　　一、手工卸载
　　1，关闭IE浏览器，以免删除时程序占用而失败。
　　2，打开C:\WINDOWS\Downloaded Program Files\，你可以看到有个“天下搜索.ocx”控件，右键属性，选择“相关内容”选项卡，列出了其他相关文件的路径和文件名，我这里显示以下几个文件：

　　BARHELP22.0.DLL
　　IEBAR22.0.DLL
　　TOLLBAR.BMP
　　HDTBAR.XML
　　IEBAR.INF
　　以上文件所在目录都是C:\WINDOWS\Downloaded Program Files\
　　但直接打开这个目录却又看不到上述文件：!
　　3，开始-程序-附件-命令提示符
　　弹出dos窗口，输入以下命令：
　　cd.. 回车
　　cd.. 回车(退到C盘根目录)
　　cd winnt 回车
　　cd Downloaded Program Files 回车
　　你可以看到我们所要删除的几个文件
　　然后用del命令删除相关文件
　　最后回到文件夹C:\WINDOWS\Downloaded Program Files\ 将“天下搜索.ocx”删除。
　　4，打开regedit,删除HEKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer下的两个关于IE toolbar 下的天下搜索键值(因为个人不喜欢用任何的搜索条，把两个关于toolbar文件夹都删掉了，记不起这两个文件夹的名字了，自己慢慢在Internet Explorer 下面找)
　　5，至此卸载完毕，你可以打开IE浏览器，发现已经没有“天下搜索”了!
　　伪lsass.exe
　　相关介绍：
　　这是个木马病毒，生成程序不在C盘里。即使你重装了系统也还是会存在。
　　清除方法：
　　把系统盘放在光驱里，在调为用硬盘启动。重起机子，查找你的桌面上那个图标花了，也就是和以前的不一样了，明显的不一样的(或者是你中毒的那一天)。查看属性，生成日期是什么，记下来。然后就是比较麻烦的了，把你的电脑里除了C盘的所有盘只要是那个日期的全删了。我的是12.8号的，我就把是12.8号创建的都删了(即使你记得你的有些文件不是那天创建的，只要是那个日期就删，因为它已经被感染了。)再者，还是删系统文件C盘除外。
　　把你的网线拔了，重起机子。记得是从硬盘启动!把你机子上原有的杀毒软件删了，装前面你下载的那个。扫描一遍你的电脑，有可疑的全删。不能删的用冰刀强行删除。还要再删一遍系统文件还是出盘以外的。观察你的10分钟c:WINDOWS\system32\com里面还有没有lsass.exe和smss.exe?这时候我的机子没有了，真的没有了呢 呵呵高兴!
　　重起，调为正常启动(不用从硬盘启动)可以了，我的杀毒过程就是这样，中间可能有些步骤是不必要的。但我也说不好 所以就把解决的过程写下来了，希望对大家有用。
　　记得机子搞好后 用瑞星扫描下有没有漏洞，有的话就赶快修复。还有360也会查找你的系统有没有漏洞。
　　伪realshed恶意程序
　　相关介绍：
　　广告软件。未经用户允许，下载并安装在用户电脑上;无法彻底卸载;在后台收集用户信息牟利，危及用户隐私;频繁弹出广告，消耗系统资源，使其运行变慢等。
　　清除方法：
　　1 CTRL+ALT+DEL,结束REALSHED进程
　　2 打开REAPLAYER,在设置内终止它的自动更新和消息中心的相关功能,具体自己摸索下了,我这里没装这个大块头的播放软件
　　3 卸载REAPLAYER,并在相应目录删除它的文件夹,将它彻底消灭
　　如果只是普通的病毒,这样做应该可以搞定了,还不行的话,你在搜索内搜索realshed,注意打开搜索隐藏文件,或者在CMD窗口下执行DIR REALSHED*.* /A /S,找到这个垃圾的藏身之处
　　剩下的就是用360的删除工具把这个垃圾分尸了
　　另外无论你怎么操作,都记得要检查下注册表,搜索下realshed这几个字符,把相关项给删除了
　　如果这样还不行,那你可能要使用DRIVERVIEW,检查下你加载的驱动,把可疑的加载给删除掉
　　另外分析报告中以下几个很可疑,你可以直接把他们清理了
　　O41 - wgaalmvm - wgaalmvm - C:\WINDOWS\system32\drivers\wgaalmvm.sys - (running) - - - e67f70a1049c762ac72824683172790b
　　O41 - boot001 - boot001 - C:\WINDOWS\system32\drivers\boot001.sys - (not running) - - -
　　O41 - WINIO - WINIO - F:\winio.sys - (not running) - - -
　　这3项非常可疑,尤其是BOOT001.SYS和WINIO.SYS,建议将其删除并检查注册表清理之.
关键词：网络安全,恶意插件,恶意软件,流氓软件