找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 928|回复: 0

[【原创】] 流氓软件删除一实例

[复制链接]
发表于 2006-9-3 12:02:22 | 显示全部楼层 |阅读模式
周日,从家中回来上班.由于住所一时没有网络,所以很多东西是从家中下了用移动硬盘转过来的.而且都在家中的电脑上装过,自信是安全的.

但是,前天就突然发现C:\\program files下面多了一个文件夹,日期是2006.08.20,也就是我回来的那天晚上创建的.在运行中输入MSCONFIG,发现一个自启动项:YOK.COM.目标指向为c:\\program files\\YOK.com\\super search.dll。试图在启动项关闭,重启发现失败。再次在运行中输入regedit,打开注册表,查找HKEY_LOCAL_MACHIN\\software\\microsoft\\windows\\current version\\下所有带RUN的,发现该文件对应的注册表启动项值。删除。重启,问题依旧……尝试删除该文件夹,系统提示正被使用,无法删除……

看来遇到棘手的家伙了。由于无法上网,所以一时也不知道究竟是个什么东西。但是从名字可以判断大概是个超级搜索的插件,可能随某些软件安装时自动安装(因为我是小心查看每一步安装的,如果有提示一定去掉了)。虽然该软件会随系统启动,但是并不过多占用系统资源,用流星泪进程查看器查看时也没有发现该进程,在所有已启动进程中也没有任何程序调用super search.dll。虽然如此,留着它在那里总是觉得不爽!因此决定用最后的招数一试~~

重启电脑,在第一屏按下F8,选择进入带命令行的安全模式,随后在安全模式下用DEL命令删除c:\\program files\\YOK.com,然后重启,进入系统时弹出对话框:加载super search.dll文件失败。查看c:\\program files,该文件夹已经消失。随后在运行中输入MSCONFIG,勾除super search.dll的选项,再进入注册表,在HKEY_LOCAL_MACHIN\\software\\microsoft\\windows\\current version\\run下删除该文件在注册表的启动项。重启动,OK!问题解决了!


通过这个实例,我们可以发现,很多流氓软件的进入是无声无息的,而且,流氓到即使你在启动项和注册表将其关闭后,在开机时,依然会自我在启动项和注册表中生成并运行。这次的好在仅仅是一个超级搜索的插件,而且并没有占用我太多资源(也许是因为没有上网,所以没有开浏览器的关系),但这些开机自启动项过多必然早晚影响开机的速度和资源的使用。因此删除是必要的!更何况如果这是一个木马或者其他类型的病毒呢?!除了启动项和注册表,大家一定要记得还有安全模式的使用,由于安全模式下,系统只加载了最基本的文件,因此很多在常规下被加载的文件都不会处于使用状态,也就可以方便的删除!(提醒:注意不要误删了系统文件!因此,在有命令行提示的安全模式下删除文件或者文件夹建议先用DIR命令对其上级文件夹做显示,以免不必要误操作。)

一点心得,与大家共享,希望大家的电脑都可以流畅运行!愿我们远离流氓软件!!!




PS:本文是本人在华南米兰论坛所发之贴,搬砖以共享,绝非抄袭,特此声明,以免误会。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-22 02:49 , Processed in 0.123012 second(s), 18 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表