关于流氓软件残留文件无法被清除

对于流氓软件的清理,我算小有点经验,其实在网上看到很多关于流氓软件清除的文章,不是写得太过简单,就是把流氓软件赖着不走的本事看得太过于简单。刚又看到贴子说暴风影音的捆梆软件惹出了麻烦,那就写点东西吧。

我刚来论坛的时候,最开始时我曾发过如何删除删除不了的DLL文件的文章,那时被不少网站转载过,可是我发现有的人在抱怨了,说我的方法不管用了,现在都没办法清除掉那些流氓软件留下来的文件了。呵呵~

实际上,现在对他们不起作用是因为他们即使根本没被使用也无法被删除掉。这是因为流氓软件利用系统驱动模式将文件和对应的注册表项保护了起来并且进行着实时监控。所以即使文件被用或者不被使用,都不能被删除掉。而且注册表中的启动项

(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)

也是无法被删除的,就算你表面上看被删除了,刷新一下再看?

而且在系统驱动模式的保护下,即使你想创建一个相同名称的dll文件都是不允许的,例如被系统驱动程序保护的某个DLL文件c:\xx\xx.dll,无论你到哪儿,右键新建,你试试新建一个xx.dll文件,是不是不行的?

被加载的伪装成系统驱动程序的文件存放在c:\windows\system32\drivers下面,这下面文件比较多,找是比较费时一点啦,一般根据创建时间和公司等信息来找会比较有头绪。有的时候,流氓软件会无耻到伪装成MS公司的版本(上次手动清除CNNIC时的发现)

一旦你删除对应的sys文件后再清除注册表里

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

里的对应文件名的键值后(这里面是包含着系统启动时要加载的驱动程序和服务)你会发现,就算正常进入系统也可以把那些文件直接DEL掉。

从“开始-程序-所有程序-附件-系统工具-系统信息-软件环境”这里可以得到非常有用的信息~大家自己打开看看吧

如果在加载的模块里看不到流氓软件里所含的模块而又无法删除的那么应该就是我上面说那种情况了~~

所以大家在装好系统和一些必要的软件后,最好对drivers文件夹下面的文件详单做一个备份。

开始-运行-CMD

输入命令 dir /b c:\windows\system32\drivers >>c:\1.txt

这样你drivers下的所有文件名称就被备份到了c:\1.txt中。加上/b参数的原因是省略那些详细的文件信息,方便用fc进行比对。一旦发现有上述情况时,可以用文本比对的方法找出那几个多出来的sys系统驱动文件。进行排查。这样问题会比较容易解决一些

应该不会有太多人觉得我说了等于什么都没说吧,呵呵~

附:暴风影音那两个sys文件的名字为:abhcop.sys和hcalway.sys(因版本问题可能有变)

既然有人说不懂怎么查找删除,我索性讲得再清楚一点,其实查找的方法有很多种,我在这里所讲的只是手工查找的方法,用专门的流氓软件清理工具的也许要比手工的要快,我在这里只是介绍DIY的方法。

定位到drivers目录下后,点工具栏上的查看,选择详细信息,默认显示的是名称,大小,类型,修改日期,当然,这些信息是不够的,选择查看,选择选择详细信息,至少把创建日期和公司和版本也勾上,这样看来就会比较直观了,点击上面的大小或日期栏可以排序。

如下图:
看原大图

这样,通过创建日期和公司等信息,你总会发现可疑目标的。当然,也可以跟别人正常机上的来进行比对。

另一种情况是,如果你按我说的对drivers目录下的文件名称作了备份的话,那么你可以将现在的diveres目录下的文件名再一次dir导出到文本,然后利用fc.exe这个WINDOWS自带的小工具来完成比对~

例如:我事先备份好了文件名称,为c:\1.txt然后在drivers目录下新建了一个xxx.sys。然后再次用dir命令导出到c:\2.txt

然后在CMD里输入命令 fc /w c:\1.txt c:\2.txt>>c:\3.txt

这个命令会把比较的结果输出到c:\3.txt中去。(加/w参数是为了忽略空格)

这是结果:

正在比较文件 C:\1.txt 和 C:\2.TXT
***** C:\1.txt
***** C:\2.TXT
xxx.sys
*****

怎么样,是不是很直观呢?这时你就可以挨个进行排查了。

我再说一遍,这是手工清除的方法,大家尽管可以利用工具来进行清除,毕竟不是谁都有那么多时间耗在这无聊的事上的,大家看看就行了。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

Time limit is exhausted. Please reload CAPTCHA.