某些流氓软件采用的都是驱动式加载,注册表run下面可以不用什么东西。甚至一些流氓软件可以没有进程.有一些流氓软件是被一些大脑简单的人写的.比我写的程序还烂....呵呵....现在总结一下以前写的东西,加上后来流氓软件升级后我的杀毒经验,写一下,希望对大家有一定帮助.
划词搜索:
看进程,什么也没有。他的文件在c:\program files\huaci\huaci\下面。大约有七个文件。还有两个驱动文件:abhcop.sys,hcalway.sys.看名字就知道了,hc alway,划词,总是运行
安全模式启动,用各种软件都清不掉。无耐只好到纯DOS模式。
到了纯DOS模式,用del命令居然拒绝存取。MD,纯DOS也删不掉??真TMD厉害。差点让我绝望。
呵,还有一命令:rename
rename c:\progra~1\huaci\huaci\zsearch.exe 1.123 (看清空格。空格后面的随便写)
....
把他的所有文件都重命名之后再进windows就可以正常删除了。别忘了两个sys文件。
以上内容是我06年04月份写的。最近一段时间,发现划词搜索的驱动文件不见了。而且有的机器完全可以卸载。好象划词搜索赚够了利润,达到了目的。或者是不是又改变了启动方式了....
3721流氓软件清除方法
他的文件有这几个:
c:\windows\system32\cns.dat;c:\windows\system32\cns.dll;c:\windows\system32\cns.exe
c:\windows\system32\drivers\cnsminkp.sys;c:\windows\download program files\cnshook.dll
c:\program files\3721 文件夹
这些文件可以在纯DOS模式下删除。
del 文件路径名 就可以了。
c:\windows\download program files\cnshook.dll有可能在DOS下面看不到里面的文件。这个目录下的所有文件都可以删除,对系统不会有所损坏。
我推荐三款软件:
hijackthis11.99.1_2.rar 下载地址: 
http://download.pchome.net/php/dl.php?sid=19179
这个软件的查找启动项目这个功能可以帮你分析sys驱动的位置。WINDOWS的不会列出来。所以只要有sys自启动了就rename就是了。
恶意软件清理助手.rar 下载地址:http://www.51ct.cn/downinfo/37.html
DoIt : 下载地址: http://soft.gapple.cn/software.asp?id=617 这个从进程看木马的路径比较不错。还可以扫描注册表中的自启动项目。
配合三个软件杀毒效果更好。
最后不要忘了在regedit里查找关键字:cns,huaci,hc,这些东西。或者用恶意软件清理助手。以便清除注册中的残余项目。
流氓软件存在的位置大体上有下面几个:
c:\program files\ 这个不用说,主文件都在这里。
c:\windows\下面有一个svchost.exe 好象是傲讯浏览器的一个文件吧。
c:\windows\system 里面有不少的流氓软件安装程序。比如10268742.exe 这类的文件。还有一个realsched.exe .把罪过让realone来背.够不要脸的吧.
c:\windows\temp 这里面的文件全部删除。
c:\windows\downloaded program files\ 这里面的文件全部删除。用DoIt来删。因为在我的电脑中看不到文件。
c:\windows\system32\msicn\ 这里面的文件在DOS下全部删除。
c:\windows\system32\ime\ 这里面的文件全部删除。文件夹保留。好象最后剩下三个文件夹。
c:\windows\system32\wint\ 这里面的也要删。
c:\windows\system32\spoolsv 这个文件夹要删。里面有一个文件,叫spoolsv.exe 不要脸的一个文件。
c:\windows\system32\microsoftnet.dll 删掉.(但我不知道是哪个流氓软件的.不过绝对不是好东西.)
c:\windows\system32\drivers\ 流氓软件的驱动文件。这里面的文件不要随意改动。我现在可以保证安全删的文件有两个:cnsminkp.sys,bdguard.sys 分别是3721和百度搜霸的驱动文件。其它的我不敢保证。此目录dsdn 和 etc 这两个文件夹是正常的,其它的文件夹一律删。这里面不存在dll文件,所以,如果发现,一律删。
注册表中要清的内容:
hkey_local_machine\software\microsoft\windows\current version\run 以及runservices runonce runonceex等前三个字母是run的.
hkey_local_machine\software\microsoft\windows\current version\policies\explorer\run 全部删除.
hkey_current_users\software\microsoft\windows\current version\run 以及runonce runservices等前三个字母是run的.
hkey_local_machine\software\microsoft\windows nt\current version\winlogon 右边有个userinit 正常的值应该是c:\windows\system32\userinit.exe, 如果中了流氓软件或某些病毒,逗号后面会带上病毒的路径.解决方法:把逗号后面的删掉.右边还有一个shell 正常的值是explorer.exe 如果中了,那这个值后面会带个空格,然后是病毒的路径.
以上信息是我在杀毒的过程中的结论。请参考....如有其它发现,欢迎及时批评指正.
技术群:10525736;22592384;19552383;19552833;7473337;20563353;16579380
QQ号:602996344(感谢我的网友嫣然一笑的老公给我申请这个号.)
==================幽游三少==================