|
|
流氓软件定义:流氓软件是指具有一定的实用价值但具备电脑病毒和黑客的部分行为特征的软件。它处在合法软件和电脑病毒之间的灰色地带,同样极大地侵害着电脑用户的权益。
浏览器工具条兴风作浪 篡改正常网页内容:
近期在浏览某些网页时发现一些浏览器插件的“功能”越来越多,甚至多了些让人发指的“功能”,大家看看解图中这个工具条软件的“功能”,如图所示的当启动这个工具条时,它会将网页页面内的一些关键字修改为直接指向制造它的网站,篡改了原有网页的内容。
流氓软件种种危害:
·强制安装
·浏览器劫持
添加不需要的按钮
地址中添非法内容
自动添加菜单
·干扰其他软件运行
·无法彻底卸载
·无法彻底删除
·强行弹出过多广告
·诱导安装广告程序
·无法彻底删除
·……
网络行业协会点名十大流氓软件
CNET科技资讯网 7月12日 北京消息:7月11日消息,网络行业协会根据用户举报,点名公布了10款流氓软件名单,并敦促相关公司于8月15日前进行整改。
在一项由该协会发起的流氓软件网络调查中,有10款软件遭到网友强烈投诉,网络行业协会表示网民投诉情况多数属实。此举将进一步明确未来对流氓软件的打击范围,但可能引发部分公司的强烈反应。
6月26日,网络行业协会成员单位曾共同拟定了《软件产品行为安全服务规范》向全社会发布,立即有相关涉及公司表态已经进行整改。但是,该公司相关产品依然出现在7月8日对外公布的流氓软件名单中。
附:用户举报软件名单
A 3721上网助手、地址栏搜索及网络实名北京三七二一科技有限公司www.3721.com
1 、强制安装
2 、浏览器劫持(添加用户不需要的按钮、ie地址菜单项中添加非法内容)
3 、干扰其他软件运行
4 、无法彻底卸载
B 淘宝网阿里巴巴www.taobao.com
强行弹出过多广告
C ebay易趣ebay inc. www.ebay.com.cn 1 、强制安装
2 、浏览器劫持(自动在ie中添加按钮和菜单)
3 、无法卸载
D dudu下载加速器千橡公司ddd.dudu.com
1 、强制安装
2 、诱导用户安装广告程序
3 、无法彻底删除
E 中文上网中国互联网络信息中心www.cnnic.net.cn 1、强制安装
2 、无法彻底卸载
F 青娱乐聊天软件(qyule )
青娱乐锋力科技青鸟科联www.qyule.com 强制安装
G 很棒小秘书很棒信息服务有限公司www.henbang.net 1 、强制安装
2 、无法彻底卸载
H 百度搜霸、
百度超级搜霸百度www.baidu.com 强制安装
I 一搜工具条雅虎toolbar.yisou.com
强制安装
G网络猪、划词搜索中搜在线pig.zhongsou.com
1 、强制安装
2 、无法彻底卸载
流氓软件大曝光
简单查杀流氓软件方法及常用查杀工具推荐
http://www.sina.com.cn 2006年03月07日 16:25
新浪科技
流氓软件带有“不请自来”的性质,且具备随机弹出广告、收集用户个人信息、拖慢计算机性能等特征。在国外流氓软件也叫Badware或Spyware。
据一份网络调查显示,高达99%的网友受到过流氓软件侵袭,其中,半数以上的计算机用户没有成功卸载过流氓软件。
权威网络调查显示:高达99%的网友受到过流氓软件侵袭
本文提供多个解决方案,教你彻底清除流氓软件,并对之加以有效的预防。希望对您有所帮助。
本文概览:
1、用工具软件追击流氓软件
2、手动清除残余垃圾
3、常见流氓软件查杀方法
4、优秀查杀工具推荐
一、用最简单的查杀工具追击流氓软件间谍软件查杀工具的使用方法大都雷同,为了便于操作,很多工具都以简洁的界面来为用户提供快速反应能力。以Spyware Terminator为例,这是一款来自国外的流氓软件查杀工具,它的界面与微软的Windows Defender很像,很容易上手。从下图中您可以看出它的作用。
安装一些插件程序时Spyware Terminator会给出提示(如图1)。从图中可以看出,这是一个IE的工具条软件。此时按下Block将不能继续安装。还可以点击Show details看出该流氓软件在硬盘中的位置、大小等信息。
图1 安装一些插件程序时Spyware Terminator会给出提示
按下Allow之后的提示(如图2),从图中可看出该工具条的进一步动作,BHO即Browser Helper Objects(浏览器辅助对象)。
图2 按下Allow之后的提示
再次按下Allow,未定义的DLL文件写入系统目录时,Spyware Terminator所给出的提示。
图3 Spyware Terminator所给出的提示
经试用发现,Spyware Terminator是一款以预防为主的,且具备实时监测功能的反间谍软件,它对于国内的流氓软件扫描、查杀能力不是很强。
在本文的最后,我们会推荐一些优秀的免费查杀工具给大家。
二、手动清除卸载后的残余垃圾
随着国内反流氓软件的呼声日益高涨,一些原本恶意强制捆绑软件也逐渐“从良”。但是,仍有一些恶意插件设置陷井来侵袭我们的计算机。下面举例说明如何彻底根除这类流氓软件。
1、第一步,用流氓软件的“卸载”功能来删除流氓软件本身,通常这一过程只需要几秒钟,会要求你重新启动计算机。
2、重启计算机后,打开控制面板-添加删除程序,看看是否还有陌生的程序名称?(图5)
图5 需要再次手工删除
这里还有一个残留,需要再次手工删除。
3、去Program Files文件夹中,检查一下有没有漏掉的文件或文件夹。点选“修改日期”标签,按日期排序,选中最新的文件夹,按住Shift+Del键,彻底删除。(图6)
图6 彻底删除
至此,这个流氓插件就被彻底删除了。
三、两个常见插件的清除方法
1、网络猪卸载之后,会在系统的Program Files文件夹中,留存一堆垃圾文件,如果不慎中招,请参阅下图,找到“网络猪”文件来手工删除(图7)。
图7 需要手工删除“网络猪”文件夹
2、U88恶性插件的清除方法
该插件常被捆绑于各种共享、免费软件中。
具体表现:集成在IE浏览器,和系统菜单上。随机弹出广告,占用系统资源,易造成系统死机。卸载后反复安装,一般用户卸载困难(图8)。
图8 占用系统资源,易造成系统死机
一旦安装了U88插件后,在控制面板的“添加/删除程序”中并不存在删除链接,造成一般用户很难删除这个插件。 下面介绍删除方法:
图9 选择程序组中的卸载程序
点击开始-所有程序-找到U88的程序组,选unInstall.exe,点击OK(图9)。
此时,还不能重新启动计算机,因为U88在首次安装时,已在计算机的注册表启动项中安插了恢复安装程序,重启系统后它还会再次安装。
解决方法:开始-运行-输入 msconfig(回车),以启动系统配置实用程序,选择“启动”标签,找到名为aupdate.exe的启动项,勾选取消。之后,打开“资源管理器”,找到并彻底删除\Program Files\Internet Explorer下的IE Uninstall文件夹中所有内容。
重新启动系统,删除成功。
图10 系统配置实用程序 找到名为aupdate.exe的启动项,取消勾选
四、优秀查杀工具推荐
对于国内的流氓软件,我们推荐以下工具(英文推荐的工具适用于查杀国外流氓软件)。
中文推荐:
Windows 流氓软件清理大师 2.1:[点击下载]
[内网点击下载]
恶意软件清理助手:[点击下载]
UPIEA:[点击下载]
[内网点击下载]
Guardio(全能优化):[点击下载]
[内网点击下载]
英文推荐:
Spyware Terminator:[点击下载]
ZoneAlarm Anti-Spyware:[点击下载]
Windows Defender:[点击下载]
Arovax AntiSpyware:[点击下载]
总结
一般来说,通过流行的工具软件,或使用手动方法,都能够清除这些流氓软件。广大网民也必须注意到,流氓软件的特征一直在变,花样在不断翻新,做为最终用户,除了应该尽早学习各种安全工具的使用方法外,还应不断提高警惕和安全防范意识,及时的更新系统内安装的网络安全软件,这样才能做到防患于未然。另外,安装任何软件之前,都要看清楚软件的Eula协议和安装选项,不能盲目地点击“下一步”。
网友自助反击大法:
以下各种方法均摘自论坛网友自助解决流氓软件方法,由于各种方法未经编辑验证,请各位网友谨慎采纳。
[quote]
转自:瑞星卡卡论坛
本主题集中讲解在修复浏览器劫持问题时的一些常用的操作。
目录
=======================================
使用HijackThis扫描LOG发到贴子中
显示所有的文件和文件夹
关闭windows me/xp的系统还原功能
系统更新/打系统补丁
修复hosts文件
以安全模式启动
停止系统服务
终止进程
让HijackThis生成启动项列表
使用HijackThis扫描LOG发上来
(以HijackThis1.99.1为例:)
1。下载HijackThis
HijackThis1.99.1可以到本版(反浏览器劫持版)置顶贴
2。生成LOG
运行HijackThis,点击“扫描并保存LOG“按钮(英文版中为”“Do a system scan and save a log”按钮),LOG将会在记事本中显示。
3。把LOG从记事本里复制/粘贴到贴子里。
如果log比较长, 请分成几个部分发在回贴里。
注:
1。关于HijackThis的使用方法及LOG的说明,请参考——瑞星网站HijackThis专题
http://it.rising.com.cn/newSite/ ... kage/hijackthis.htm
2。生成LOG后,您也可以使用HijackThis日志自动分析服务
请参考:http://forum.ikaka.com/topic.asp?board=67&artid=6246720
2。显示所有的文件和文件夹
有些恶意代码文件具有系统,隐藏等属性,并可能受到系统的保护,这不利于我们寻找和删除它们。
让它们显示出来的方法:
1. 启动 我的电脑或Windows 资源管理器。
2. 单击“查看”菜单 (Windows 95/98/NT) 或“工具”菜单 (Windows Me/2000/XP),然后单击“选项”或“文件夹选项”。
3. 单击“查看”选项卡。
4. 取消选中“隐藏已知文件类型的扩展名”。
5. 执行下列操作之一:
Windows 95/NT。单击“显示所有文件”。
Windows 98。在“高级设置”框的“隐藏文件”文件夹下,单击“显示所有文件”。
Windows Me/2000/XP:取消“隐藏受保护的操作系统文件”前的钩,并在“隐藏文件和文件夹”文件夹下,单击“显示所有文件和文件夹”。
6. 单击“应用”,然后单击“确定”。
注:
1。如果按照上面进行设置后,文件仍然未显示出来
请打开注册表,定位到:
KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
分支,如果右边的窗口中有名为CheckedValue键值项,并且值为0时,请双击它,把它的键值修改为“1”。
关闭注册表编辑器,重新启动计算机。
2。如果文件夹选项组不显示:
请打开注册表,定位到:
KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支
双击右边的窗口中Type键值项,把值改为: radio
关闭注册表编辑器,重新启动计算机。
3。某些恶意代码会拦截(hook)相关的API函数,阻止自身文件的显示。这类文件按照上面的方法设置后,在正常模式下可能仍然不会显示出来。(这也是建议大家到安全模式进行修复操作的原因之一)
关闭windows me/xp的系统还原功能
windows me/xp内置了系统还原功能,这个特性使用户在系统出现问题时快速恢复到以前正常状态且不会丢失用户数据。
有些恶意文件也可能会被系统还原功能备份和恢复,这可能会导致我们的修复工作不见效果。
关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”,然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”,然后单击“确定”。
如前面指出的,这会将之前所有的还原点清除。单击“是”。
单击“确定”。
注:WIN XP在关闭系统还原功能时会清除文件夹的内容。
关闭Windows Me 系统还原
单击“开始”,指向“设置”,然后单击“控制面板”。
双击“系统”,
--------------------------------------------------------------------------------
注意:如果看不到“系统”,单击“查看所有控制面板选项”显示它。
--------------------------------------------------------------------------------
然后单击“性能”选项卡,单击“文件系统”。文件系统属性窗口将出现。
然后单击“疑难解答”选项卡,选中“禁用系统还原”。
单击“确定”,然后单击“关闭”。当提示重新启动 Windows 时单击“是”。
注:
1。以上源自:【圣诞节礼物】新手常见问题解答
http://community.rising.com.cn/F ... =2487737&page=1
2。Windows XP Professional系统恢复浅谈
http://www.microsoft.com/china/c ... chDoc/WinxpSys.mspx
系统更新/打系统补丁
有相当多的浏览器劫持是利用系统漏洞,特别是IE浏览器漏洞来实施的。
及时进行系统更新/打系统补丁可以在很大程度上降低浏览器被劫持的机率。
系统更新/打系统补丁的方法:
开始 --> Windows Update...
或启动IE,用菜单:工具 --> Windows update..
升级程序会自动检测你需要打哪些补丁
注:对于win xp,打补丁之前建议先打开系统还原功能, 如果升级出了问题可以到安全模式下还原回来。
修复hosts文件
hosts文件里保存有WINDOWS系统记录的IP地址与域名的对应关系。
有些网页恶意代码会修改这个文件迫使我们访问恶意网页/网站。
检修方法和步骤是:
1。关闭所有浏览器窗口
2。开始--》运行...
如果你使用的是win 98,请输入(建议复制/粘贴过去):attrib %SystemRoot%\hosts -h -r -s
如果你使用的是win 2000/xp,请输入(建议复制/粘贴过去):attrib %SystemRoot%\system32\drivers\etc\hosts -h -r -s
点[确定]按钮。
3。开始--》运行...
如果你使用的是win 98,请输入(建议复制/粘贴过去):notepad %SystemRoot%\hosts
如果你使用的是win 2000/xp,请输入(建议复制/粘贴过去):notepad %SystemRoot%\system32\drivers\etc\hosts
点[确定]按钮。
4。hosts文件的内容将显示在记事本中,请保留包含127.0.0.1的行,把其它行全部删除。
保存修改后,重新启动计算机看看。
注:hosts文件不是系统必须的,有些电脑中可能没有这个文件。
以安全模式启动
安全模式是Windows用于修复操作系统错误的专用模式,是一种不加载任何驱动的最小系统环境,用安全模式启动电脑,可以方便用户排除问题,修复错误。
以安全模式启动的方法
方法1。重新启动电脑, 开机自动检测完后, 在系统进入Windows启动画面前,按下F8键(或者在
启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择安全模式(Safe Mode)进入Windows。
方法2。重新启动电脑, 开机自动检测完后, 按住[Shift]键,系统将以安全模式启动(不显示启动选项菜单)
附注:
1。Windows 98 启动揭密
http://www.it.com.cn/f/edu/0411/27/52388.htm
2。Windows2000启动菜单详解
http://www.enet.com.cn/eschool/inforcenter/A20050221391667.html
停止系统服务
有些恶意代码是以系统服务的方式来启动的,这样我们无法通过“任务管理器”来终止恶意代码进程,也无删除恶意代码文件。
在进行修复时,我们需要先停止这些服务。
停止系统服务的步骤:
1。以管理员或@@@@istrators组成员身份登录
2。启动服务管理控制台
方法1)单击“开始→运行”菜单项,在出现的对话框中键入“Services.msc”并回车,即可打开“服务管理控制台”,如图1所示。
方法2)
Windows 2000:开始→控制面板→管理工具→服务
Windows xp/2003:开始→控制面板→性能和维护→管理工具→服务
3。在服务控制台中,双击要停止的服务,打开该服务的属性对话框,如图2所示。
4。在“常规”选项卡中:
1)点击“停止(T)”按钮来停止服务;
2)在“启动类型”里选择“已禁用”;
3)点击“确定”按钮。
附注:
1。Windows系统进程列表完全解析
http://www.examlink.com/articles/others/04_08_25_03_1.htm
2。怎样配置和管理WinXP/2003系统服务
http://www.enet.com.cn/eschool/inforcenter/A20040215286435.html
终止进程
当恶意代码程序在运行时,我们将无法删除恶意代码文件,有关的修复操作也可能不起作用。
所以在修复过程中,我们需要终止恶意代码进程。
我们可以使用Windows自带的任务管理器来终止进程,步骤是:
1。打开Windows自带的任务管理器
1)按下键盘上的CTRL、ALT和DELETE键,同时松开,windows 95/98/me的任务管理器就会显示出来
2)对于windows 2000/xp,则可能还需要点击弹出的“windows安全”对话框中的“任务管理器{T}”按钮,从而打开任务管理器,并切换[进程]选项卡
2。单击选定选定要终止的进程,点击“结束进程”按钮。
由于95/98/me自带的任务管理器不能显示注册为系统服务的进程,因些当恶意代码进程注册为系统服务时,将不会显示在任务管理器中。
而windows 2000/xp自带的任务管理器则不能显示进程对应文件的完整文件说明符(盘符:\路径\文件名),当恶意代码文件的文件名与windows系统文件名相同时(比如恶意代码文件名为csrss.exe),我们就很难把恶意代码进程和windows系统进程区分开来。
所以当我们无法看到恶意代码进程,或者无法区分恶意代码进程时,建议使用第三方提供的,可以显示进程对应文件的完整文件说明符的进程管理软件。
HijackThis中就自带可以显示进程对应文件的完整文件说明符的进程管理器,
使用HijackThis中的进程管理器来终止进程的步骤是:
<下面的叙述以1.99.1版本为准>
1。运行HijackThis
2。点击“打开混合工具箱”按钮(英文版为“Open the Misc Tools section”按扭)
3。点击“打开简易进程管理器”(英文版为“Open process Manager”按扭)
4。单击选定要终止的进程,点击“终止进程”按钮(英文版为“Kill process”按扭)。
附注:
1。如果进程无法终止,那么它可能是以系统服务的方式来启动的,请参考本主题第6楼--停止系统服务。
2。您也可以试试我DIY的“系统进程监控程序”,下载地址:http://www.hcny.gov.cn/netres/download/procview.rar)
3。有些恶意代码进程可能会利用windows系统的某些未开公的特性,从而无法终止。这时请到安全模式尝试。
让HijackThis生成启动项列表
当我们按照楼主层中的——“使用HijackThis扫描LOG发到贴子中”进行操作,这里生成的LOG(以下称为标准LOG)只是列出了常见的启动项,而忽略了一些不常用的启动项。
当我们通过分析标准LOG无法解决问题时,则需要考滤那些标准LOG未列出的启动项。
HijackThis可以为我们生成非常详细的启动项列表,我们可以依据这个启动项列表进行更详细的分析。
让HijackThis生成启动项列表的方法和步骤是:
(以HijackThis 1.99.1为例)
1。运行HijackThis 1.99.1
2。点击“打开混合工具箱”按钮(英文版为“Open the Misc Tools section”按扭)
3。把“生成启动项列表”按钮(英文版为"Generate StartupList log"按钮)右边的选项"列出全部(全面)"(英文版为:"List empty sections(complete)")钩上
4。点击“生成启动项列表”按钮(英文版为"Generate StartupList log"按钮)
5。在弹出的“启动项列表”(英文版为"StartupList"对话框)中点击"是(Y)"按钮.
6。启动项列表会显示在记事本中
请把它从记事本中复制/粘贴到贴子里。
如果log比较长, 请分成几个部分发在回贴里。
附注:
1。在关于---关于se.dll引起的Warning广告窗口的一种解决方法---的解决方法1
http://forum.ikaka.com/topic.asp?board=67&artid=6083782中
如果我们按标准LOG修复后,如果重新启动计算机时,系统提示加载se.dll失败,则需要使用HijackThis生成的启动项列表进行分析
可参考坏小子朋友的贴:
杀毒后开机se.dll加载失败的发现
http://forum.ikaka.com/topic.asp?board=67&artid=6234452
DLL劫持现象:
1 打开IE(或者IE搜索页)出现不知名的网站
2 清空临时文件夹,断开网络,打开IE依旧出现此网页
3 启动项目不存无可疑
解决:
1 用Windows自带工具搜索“*.*”,包含内容则COPY一段不知名网页的内容
2 此时一般会搜索出一两个DLL文件(一般在system32目录下)
3 安全模式或者DOS下,删!
4 在Windows安全模式在注册表搜索相关DLL文件的键值,删!
5 回到Windows,OK~
[/quote]
[ 本帖最后由 haxc 于 2006-3-15 21:54 编辑 ] |
|
IP卡
狗仔卡
发表于 2006-3-15 21:25:01
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2006-3-15 21:46:51
