手到擒来 23种恶意插件手工清除方法(3)

相关文章：
手到擒来 23种恶意插件手工清除方法（1）

手到擒来 23种恶意插件手工清除方法（2）
手到擒来 23种恶意插件手工清除方法（3）
　　rpcc
　　相关介绍：
　　这是一款在用户不知情的情况下自动安装到用户电脑上的一款恶意软件，rpcc会自动访问网络， 在屏蔽了之后只要你每次启动IE,QQ之类的这个东西又自动访问了。rpcc会不断连接不同地址的25端口,,监听不同地址的53端口。
　　清除方法：
　　1、断开网络。
　　2、运行“冰刃”，在结束病毒进程前，先勾选“禁止线程创建和禁止协件功能”，然后结束病毒进程。
　　3、运行 “sc delete 21A4AFA0”，删除病毒服务。
　　4、删除病毒文件
　　5、打开 “卡卡上网安全助手”在“系统启动项管理中”，删除所有可疑项目。
　　这时，会发现“rpcc.dll”这个文件删除不了(在安全模式下也不能删除)，我们需要用 win98启动盘，或者从光驱启动，切换到系统目录，执行
　　cd system32
　　del rpcc.dll
　　即可删除。
　　重启后更新到最新病毒库，然后全面杀毒。
　　NB46工具栏
　　相关介绍：
　　NB46工具栏是在IE地址栏下方的一排如百度搜霸什么的一样的。进程NB46
　　清除方法：
　　1、进入安全模式(电脑启动的时候按F8，有的电脑是按F2的)。在安全模式里用360检测NB46文件名称。
　　2、将检测到的文件名搜索，既是打开我的电脑，搜索，输入检测到的文件名，将搜索到的文件全部删除去。然后再搜索NB46文件，不管是EXE还是DLL等文件，都删除掉。
　　3、进入启动服务(开始-运行)，输入msconfig，选择启动，将与NB46相关的启动项全部把勾取消。
　　4、进入注册表(开始-运行)，输入regedit，编辑-查找。输入nb46和检测到的文件名，见查找出来的值项全部删除。
　　5、重新启动。
　　sexmple
　　相关介绍：病毒修改注册表 创建系统服务项 Run/WindowsStar 实现自启动，运行后浏览器被劫持，恶意弹出广告。
　　清除方法：
　　1、先结束进程sexmple，先不急着删除sexmple，来观察一下它进程，看它是否自动启动进程?
　　2、如过自动启动进程，那就进入安全模式(电脑启动时按F8)。
　　3、在安全模式里打开我的电脑，搜索，然后搜索sexmple，将查找出来的文件和程序都删除掉。
　　4、在运行里输入msconfig，在启动里是否有与sexmple相关的值项，有的话就去掉勾。退出而不重启。
　　5、进入注册表(运行里输入regedit)查找sexmple，将查找出来的值项全部删除。
　　std software 流氓插件
　　相关介绍：
　　std software 其实就是一种流氓IE插件，也有很多人说它是病毒。
　　清除方法：
　　去注册表里删掉：
　　{6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - X:\WINDOWS\SYSTEM32\stdup.dll
　　和启动项HKLM\\Run: [Update] X:\Program Files\Common Files\UPDATE\Update.exe
　　还有这个启动项HKLM\\Run: [Iehelper] X:\WINDOWS\system32\iehelper.exe
　　WinStdup
　　相关介绍：
　　winstdup是radmin被控端。就是说被植入的机器可能让人远程控制你的电脑。中了这个的现象是弹IE出来。
　　清除方法：
　　1、先在“控制面板”-“管理工具”-“服务”中停止StdService服务，并设置服务启动类型为“禁用”。 (不过有的名字改为了Standard Update Net Service服务，可要多注意了)
　　2、然后进入注册表(运行里输入 regedit)就可以进入了，按F3查找StdService，找到的所有值项删除掉。多查找几次，确定没有这个之后再查找studnet。还有winstdup，三者不能放过一个。
　　3.进入到安全模式下，打开我的电脑-工具—文件夹选项—查看
　　勾选“显示系统文件夹的内容”
　　取消“隐藏受保护的操作系统文件” (因为有的程序比较恶意，到这项来了就象伪装LSASS)
　　选择“显示所有文件和文件夹”
　　搜索以下文件：
　　"stdup.dll","stdup","stdsver.dll"
　　搜索到的文件全部删除，一个不留。删除完毕以后再搜索stdupnet，搜索到的也一个不留，除非是自己建立的文件。呵呵，这个鬼都知道!
　　4、再进入注册表，查找STDUP。查找出来的也不能留，全部删除。
　　5、进入控制面板——添加或删除程序——“vision”
　　6、重启，再进入安全模式。重复以上过程。再重启，就清除WinStdup干净了。
　　searchnet
　　相关介绍：
　　该程序位于C:\Program Files\Searchnet文件夹，里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件(某些变种的Searchnet.exe是在C:\Program Files\下)。在C:\WINDOWS\System32还有servehost.exe文件，并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。
　　该木马具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，无法彻底删除。
　　清除方法：
　　1、用启动光盘进入系统，到\windows\system32\drives
　　2、将上述目录中的FAD.sys 和anfad.sys更名，(此文件不能直接被删除)
　　3、再将\program files\serachenet\目录下的主要文件更名(建议将此目录中的全部文件更名)
　　4、再删除serachnet目录即可
　　5、删除\windows\system32\drives更名后的文件
　　6、重起电脑ok。
　　伪装sun java恶意插件
　　相关介绍：
　　“伪装Sun Java2恶意插件”的恶意行为是“强制安装、不定时弹出广告窗口、自动恢复、无法彻底删除”。 伪装Sun Java2恶意插件，该插件能够伪造360安全卫士对话框，并互相保护，以达到删除360安全卫士，让用户电脑处于安全威胁之下的目的。据悉，目前已经有数以千计的用户不慎安装了此恶意插件。
　　清除方法：
　　方法一:
　　首先进入360软件使用 诊断及修复 下的漏洞扫描 打好补丁先。。
　　再进入安全模式 (进注册表[开始→运行→输入:regedit])
　　删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMEventHelper
　　把COMEventHelper这项删除了
　　删除注册表中所有跟comadevent.dll有关的选项
　　在进入C:\WINDOWS\system32目录下 删除
　　COMAdEvent.dll
　　COMEventHelper.bat
　　COMEventHelper.dll
　　comhobevent.dll
　　方法二：
　　1、通过重新安装的方式启动最新版本 360安全卫士，扫描清除一次“伪装Sun Java2恶意插件”;
　　2、马上重新启动电脑，用启动光盘引导，进入纯DOS，删除wuwebldsv.dll、wuwebldsv.bat
　　a:\>c:
　　c:\>cd windows
　　c:\windows>cd system32
　　c:\windows\system32>del wuweb*.*
　　3、取出光盘，重新正常启动电脑，好了!
　　方法三：
　　如出现自动生成UPdate文件夹的伪装sun java2恶意插件的情况，可如下操作则不再生成。
　　1、用safe360安全卫士删除。
　　2、修改Internet安全级别中的安全设置，把java小程序脚本给禁用掉。按以上两步完成即可!
　　不过禁用了java小程序脚本会不会对一些网页造成影响，没有验证。大家可以验证下。
　　注：以上的方法仅供参考。由于恶意的多样化。所以大家所中的sun java不一定相同，所以清除方法也未必行得通。
关键词：网络安全,恶意插件,恶意软件,流氓软件