揭密23種惡意插件手工清除方法

　　如今，惡意軟件及插件已經成為一種新的網絡問題，惡意插件及軟件的整體表現為清除困難，強制安裝，甚至干攏安全軟件的運行。下面的文章中筆者就給大家講一部份惡意插件的手工清除方法，惡意插件實在太多，筆者無法做到一一講解，希望下面的這些方法能為中了惡意插件的網友提供一定的幫助。 　　惡意插件Safobj 　　相關介紹： 　　捆綁安裝,系統速度變慢,沒有卸載項/無法卸載,強制安裝,干擾其它軟件正常運行, 　　清除方法： 　　重新注冊IE項，修復IE注冊。從開始->運行 　　輸入命令 regsvr32 actxprxy.dll 確定 　　輸入命令 regsvr32 shdocvw.dll 確定 　　重新啟動，下載反間諜專家查有沒有ADWARE，spyware，木馬等並用其IE修復功能修復IE和注冊表，用流氓軟件殺手或微軟惡意軟件清除工具清除一些難卸載的網站插件。 　　到down.45it.com下載KillBox.exe。在C:\Program Files\Internet Explorer\目錄下，把LIB目錄或Supdate.log刪除。 　　跳窗網頁可能保留在HOSTS，一經上網就先觸發該網址為默認，就會自動打開，檢查HOSTS： 　　用記事本在C:\WINDOWS\system32\drivers\etc\目錄下打開HOSTS 　　在裡面檢查有沒有網址，有則刪除。 　 或在前面加 　　127.0.0.1 　　保存後屏蔽掉。 　　如果是彈出的信使： 　　從開始->運行，輸入命令： 　　net stop msg 　　net stop alert 　　即終止信使服務。 　　惡意插件MMSAssist 　　相關介紹： 　　這其實是一款非常簡便易用的彩信發送工具，但它卻屬於流氓軟件!並采用了類似於木馬的Hook(鉤子)技術，常規的方法也很難刪除它，而且很占用系統的資源。 　　清除方法： 　　方法一：它安裝目錄裡第一個文件夾有個.ini文件，它自動從下載插件包，包裡有albus.dll文件，UPX 0.80 - 1.24的殼，脫掉用16位進制軟件打開發現這個垃圾插件利用HOOK技術插入到explorer和iexplore中，開機就在後台自動運行。 　　安全模式下，右鍵點擊我的電腦-管理-服務-禁用jmediaservice服務，刪除C:\windows\system32下的Albus.DAT，刪除C:\WINDOWS\SYSTEM32\DRIVERS下的Albus.SYS，刪除彩信通的安裝文件夾，開始-運行-regedit-查找所有MMSAssist並刪除，如果怕注冊表還有彩信通的垃圾存在，下載個超級兔子掃描下注冊表再一一刪除，你也可以試試超級兔子的超級卸載功能。 　　要阻止它再次安裝，也很簡單。徹底刪除它之後，你在它原來的位置新建一個與它同名的文件夾，然後將這個文件夾的權限設置為連系統管理員都是“只讀”，取消“寫入”和“運行”的權限。這樣它就再也裝不進我們的系統了。 　　方法二：用冰刃IceSword v1.18顯示這些文件：c:\program files\mmsassist文件夾、windows\system32\albus.dat、windows\system32\drivers\Albus.SYS，把mmsassist文件夾及其子文件夾中的文件一一刪除，把albus.dat、albus.sys刪除。再到c:\program files下面看一下，mmsassist裡又回來的兩個文件，不過不要緊張，刪除mmsassist文件夾，刷新，文件夾已經不見了。如果還不放心，可以進入regedit，搜索mmsassist，把帶有mmsassist相關字樣的鍵值一一清除! 　　惡意插件popnts.dll 　　相關介紹： 　　求助SREng日志整理出來的，主要表現是彈出廣告，在收到郵件後，發現這個東東跟前段時間整理的流氓軟件0848\baisoa幾乎一致，看來也只是一個毫無新意的升級版 　　病毒文件及文件夾 　　%windir%\winamps.exe 　　%windir%\realupdate.exe 　　%windir%\POPNTS.DLL 　　%windir%\ScNotify.dll 　　%system%\{pchome}\.setupf\ 　　添加注冊表啟動項 　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 　　updatereal %windir%\realupdate.exe other 　　winsamps %windir%\winamps.exe 　　冒充微軟信息的啟動項 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] 　　ScCardLogn %windir%\ScNotify.dll 　　添加一個BHO 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID] 　 [HKEY_CLASSES_ROOT\CLSID] 　　{DE7C3CF0-4B15-11D1-ABED-709549C10000} %windir%\POPNTS.DLL 　　清除方法： 　　1、停止winamps.exe、realupdate.exe viruspe.com的進程 　　2、刪除添加的所有注冊表信息 　　3、重啟後刪除、或者使用Unlocker刪除所有的病毒文件 　　PS： 　　1、由於病毒變種，可能實際情況與本文描述不同，但清除方法是一定的 本內容來源於電腦硬件 　　2、由於其具備download馬特征，除此之外，可能伴隨著其他病毒或流氓軟件。 　　惡意插件WBForm 　　相關介紹： 　　這個程序其實是一個IE的惡意插件，應該屬於Spyware/Adware之類的軟件，會隨著IE一起啟動，而且有時會彈出廣告窗口。 　　清除方法： 　　為了徹底刪除它，重新啟動電腦後不要運行IE，直接刪除Windows目錄下的adstate.dat和WindowsSystem32目錄下的mewin.dll文件(如果無法刪除請重新啟動進入安全模式再刪)。然後，運行注冊表編輯器(Regedit)，搜索並刪除包含如下關鍵字的所有鍵值即可：3D898C55-74CC-4B7C-B5F1-45913F368388。 　　惡意插件ACTIVEX 　　清除方法： 　　1、打開IE，進入"工具-internet選項"窗口，在"常規"選項上單擊"設置"按鈕彈出"設置"對話框，單擊"查看對象"可查看目前機器上已經安裝的一些ACTIVEX控件。 　　2、可以在"查看對象"窗口中直接刪除控件，不過這樣刪除只能暫時清除騷擾，要想徹底屏蔽還需要了解它的SLSID值，找到惡意ACTIVEX插件，查看屬性，在常規選項卡上ID後面的就是SLSID了。 　　3、新建一個REG腳本，內容如下： 　　[hkey_local_machine\software\microsoft\internet explorer\activex compatibility\{x}](x就是在得到的SLSID) 　　"compatibility flags"=dword:00000400 　　保存後導入注冊表。

　　“天下搜索” 　　相關介紹： 　　一開始從添加刪除裡面想刪除這個插件，一下子就死機了，baidu上搜索如何卸載，例子有很多，總結了下，不外乎二種：手工卸載、工具卸載。 　　清除方法： 　　一、手工卸載 　　1，關閉IE浏覽器，以免刪除時程序占用而失敗。 　　2，打開C:\WINDOWS\Downloaded Program Files\，你可以看到有個“天下搜索.ocx”控件，右鍵屬性，選擇“相關內容”選項卡，列出了其他相關文件的路徑和文件名，我這裡顯示以下幾個文件： 　 BARHELP22.0.DLL 　　IEBAR22.0.DLL 　　TOLLBAR.BMP 　　HDTBAR.XML 　　IEBAR.INF 　　以上文件所在目錄都是C:\WINDOWS\Downloaded Program Files\ 　　但直接打開這個目錄卻又看不到上述文件：! 　　3，開始-程序-附件-命令提示符 　　彈出dos窗口，輸入以下命令： 　　cd.. 回車 　　cd.. 回車(退到C盤根目錄) 　　cd winnt 回車 　　cd Downloaded Program Files 回車 　　你可以看到我們所要刪除的幾個文件 　　然後用del命令刪除相關文件 　　最後回到文件夾C:\WINDOWS\Downloaded Program Files\ 將“天下搜索.ocx”刪除。 　　4，，打開regedit,刪除HEKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer下的兩個關於IE toolbar 下的天下搜索鍵值(因為個人不喜歡用任何的搜索條，把兩個關於toolbar文件夾都刪掉了，記不起這兩個文件夾的名字了，自己慢慢在Internet Explorer 下面找) 　　5，至此卸載完畢，你可以打開IE浏覽器，發現已經沒有“天下搜索”了! 　　偽lsass.exe 　　相關介紹： 　　這是個木馬病毒，生成程序不在C盤裡。即使你重裝了系統也還是會存在。 　　清除方法： 　　把系統盤放在光驅裡，在調為用硬盤啟動。重起機子，查找你的桌面上那個圖標花了，也就是和以前的不一樣了，明顯的不一樣的(或者是你中毒的那一天)。查看屬性，生成日期是什麼，記下來。然後就是比較麻煩的了，把你的電腦裡除了C盤的所有盤只要是那個日期的全刪了。我的是12.8號的，我就把是12.8號創建的都刪了(即使你記得你的有些文件不是那天創建的，只要是那個日期就刪，因為它已經被感染了。)再者，還是刪系統文件C盤除外。 　　把你的網線拔了，重起機子。記得是從硬盤啟動!把你機子上原有的殺毒軟件刪了，裝前面你下載的那個。掃描一遍你的電腦，有可疑的全刪。不能刪的用冰刀強行刪除。還要再刪一遍系統文件還是出盤以外的。觀察你的10分鐘c:WINDOWS\system32\com裡面還有沒有lsass.exe和smss.exe?這時候我的機子沒有了，真的沒有了呢 呵呵高興! 　　重起，調為正常啟動(不用從硬盤啟動)可以了，我的殺毒過程就是這樣，中間可能有些步驟是不必要的。但我也說不好 所以就把解決的過程寫下來了，希望對大家有用。 　　記得機子搞好後 用瑞星掃描下有沒有漏洞，有的話就趕快修復。還有360也會查找你的系統有沒有漏洞。 　　偽realshed惡意程序 　　相關介紹： 　　廣告軟件。未經用戶允許，下載並安裝在用戶電腦上;無法徹底卸載;在後台收集用戶信息牟利，危及用戶隱私;頻繁彈出廣告，消耗系統資源，使其運行變慢等。 　　清除方法： 　　1 CTRL ALT DEL,結束REALSHED進程 　　2 打開REAPLAYER,在設置內終止它的自動更新和消息中心的相關功能,具體自己摸索下了,我這裡沒裝這個大塊頭的播放軟件 　　3 卸載REAPLAYER,並在相應目錄刪除它的文件夾,將它徹底消滅 　　如果只是普通的病毒,這樣做應該可以搞定了,還不行的話,你在搜索內搜索realshed,注意打開搜索隱藏文件,或者在CMD窗口下執行DIR REALSHED*.* /A /S,找到這個垃圾的藏身之處 　　剩下的就是用360的刪除工具把這個垃圾分屍了 　　另外無論你怎麼操作,都記得要檢查下注冊表,搜索下realshed這幾個字符,把相關項給刪除了 　　如果這樣還不行,那你可能要使用DRIVERVIEW,檢查下你加載的驅動,把可疑的加載給刪除掉 　　另外分析報告中以下幾個很可疑,你可以直接把他們清理了 　　O41 - wgaalmvm - wgaalmvm - C:\WINDOWS\system32\drivers\wgaalmvm.sys - (running) - - - e67f70a1049c762ac72824683172790b 　　O41 - boot001