流氓软件严格来说算不上病毒木马,因为本身没有对计算机进行学术意义上的危害,但是它们借用木马的传播方式与技术,后台抱团下载安装到用户电脑,导致用户的电脑卡顿,实现推广盈利之目的。对于怎么清理这类流氓推广软件,确实没有比较好的方法,我曾尝试通过网络防火墙拦截对应关键字的域名,但是效果不明显,可以拒绝一部分下载,却拦不住黑名单之外的软件与域名,而且这种拦截也有局限性,不仅受限于添加域名的数量与种类,也受限于防火墙的功能与规则。
目前针对单机的流氓软件清理,不能只靠卸载,有时这边刚卸载完,那边后台已经在安装新的一个软件了,防不胜防,挡都挡不住。所以一般处理前最好先断网,然后借助安全工具软件全盘清理,先扫一遍为敬。对于我来说,最近几例比较成功(所谓成功是刚清理完,不会马上出现流氓们卷土重来的情况,下载安装或弹出小游戏、新闻、广告啥的)的清理方式,是断下网,用火绒全盘查杀。之所以用火绒,不是因为它的查杀能力有多强(倒是有人说它的查杀能力并不强大),只是因为它能查出来,很多杀毒软件根本就不把此类流氓软件放入查杀目标,或者只能查杀一部分,这样你扫全盘也找不出几个来,至少火绒在目前我试过几次还是找的比较多的,当然你有其它更好的选择也行。
全盘扫描,其实不用等全硬盘文件都扫完,如果有时间是可以等,没时间,只要看前面的几个重要项目扫完,系统盘文件再扫一下,基本就差不多了,至少目前的流氓软件是下载和安装在系统盘,比如C盘,更确切的说,就是用户目录,比如c:\users\<用户账号>\appdata\下的local和roaming两个文件夹,一般下载是在临时目录temp,安装就是上面两个文件夹,还有程序文件夹系统盘下的Program Files、Program Files (X86),不排除放到其它地方的可能,比如windows或system32,这两地应该是病毒木马喜欢放的地方,也是理论上杀毒软件重点盯防的地方,估计暂时不敢直接放进去,不过也不能把话说满了。
自动查杀完,可以使用一些系统安全工具开始手动的查杀了。我用的是火绒的火绒剑,因为是它自己带的,建议使用前先下载好,不然断网后不能下载,这时再联网又可能导致新一波流氓趁机安家,影响前面自动查杀的效果,自动查杀就是为了省点事。说回火绒剑,先说缺点,不能过滤系统的驱动与服务,看起来有点麻烦。除开这一点,我的方法就是查启动项,所以路径指向上面所说的用户目录与程序目录的启动项,不管是服务还是驱动,或注册表启动项、计划任务什么的(计划任务要仔细查),都要仔细看看,凡不是自己安装的程序软件的,应该嫌疑度都很大,可以直接删除,实在不确定可以先禁用启动。不保证所有流氓软件的启动项都在这几个位置,可能也会在系统目录下,这个鉴别难度有点大,不能光看有没有数字签名了,看看描述、看看公司名,多方位考察鉴别。
最后,为了洁癖的需要,可以去上面说的流氓软件的安装位置,查一查这些推广软件的安装文件夹,注意这些推广软件有的已经不会出现在控制面板的卸载名单里,就是说开始菜单里没有,控制面板里没有,有的所谓帮助卸载的软件管理类工具里也没有,只能到它们的安装目录下找卸载程序,比如uninst.exe之类,注意那些回收站的图标的程序,直接双击卸载,要想干净,卸载时不要保留数据,最后再看下文件夹里有没有残留文件,有直接删除,有的可能要重启后删除,实在顽固的用专用的强制删除工具干掉(火绒剑也有这功能,注意这里不是推荐,只是从前面顺道说下来的)。
最后的最后,最好清下临时目录,local目录下的temp文件夹,毕竟下载的安装源大多在这里。重启电脑,不管是卸载还是修改系统设置(删除服务驱动也是修改系统设置),有的是要重启才能生效,重启也能清理掉进程中正在运行的程序,有的删除不掉的东西,在重启后也能删除了,不用借助工具。重启完就是继续观察是否还有流氓回潮的迹象。
以上是一般的清理方法,不代表能完全解决你的问题,确实有顽固的家伙不能仅仅依靠上面的方法处理,说实话这样顽固真的就是病毒木马了,而不能仅仅定义成推广,起码也是恶意推广(流氓是方式,恶意是目的)。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/2233.html