流氓軟件的基本原理與一般清除方法
1.瀏覽器劫持
現在很多流氓軟件都會強制在IE中增加一個工具條,以實現各種功能。例如鼎鼎大名的「雅虎助手」,這種情況就是瀏覽器劫持。
瀏覽器劫持和一般的病毒木馬攻擊不同,它使用各種技術插件對瀏覽器進行惡意修改,使自己成為瀏覽器的一部分,並控制你的瀏覽器進行他們想要的操作。主要表現為主頁被修改,開機彈出廣告等。
那麼在瀏覽器被劫持時我們的殺毒軟件在幹嗎呢?為什麼不阻止呢?這是因為瀏覽器劫持是通過BHO(瀏覽器輔助對象)技術進入你的電腦的,而這種技術是合法的。BHO原本是為了我們打造個性的IE的技術,可是一旦被某些別有用心的人利用後----
那我們該如何清除呢?首先,BHO文件一般保存在C:\Windows\Downloaded Program files\文件下,或者作為單獨的程序保存在C:\Program files\下。其次,通過文件屬性和文件名來判斷其是否是流氓軟件。最後,用regsvr /u 文件名這個命令來卸載DLL文件,再刪除。如果無法刪除可以去安全模式下刪除或者用Iceword,Unlocker來刪除。
2.修改註冊表
註冊表是WINDOWS的根基,也流氓軟件經常光顧的地方,很容易受到攻擊。有時出現刪除流氓後重啟又復活的情況,所以要注意清理檢查以下這些啟動項(註冊表操作要先備份!!!)
[HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run或RunOnce]
[HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或RunOnce或RunServices]
[HKEY-LOCAL-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
如果在這些啟動項裡出現了保存在系統目錄下,並以系統文件命名的啟動項,那你可要注意了!如Svchost.exe,C:\Windows\System32\hdhj.exe等。
3.Winsock LSP
如果清除完流氓軟件後出現無法上網的情況,這就可能是Winsock LSP 被破壞了。LSP是指分層服務提供商。就是WINDOWS底層網絡Socket通信必須經過的大門。流氓軟件把自己寫進去後,就可以截取,訪問,修改網絡數據包並隨意添加廣告。而且它是不分瀏覽器類型的,MT,OP,FF等都可以。由於LSP在底層工作,所以要是誤刪了LSP的DLL文件,就會導致無法上網。
LSP在註冊表的
[HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
項下。系統默認的LSP有TCP/IP組件MSWSOCK.DLL和NTDS組件WINRNR.DLL,它們的項分別是000000000001和000000000002,如果流氓軟件要劫持的話,會將自己改為000000000001,而系統的就會被向後推為000000000002等,這樣就優先處理惡意LSP拉!但是要注意有些LSP是好的,例如江民殺毒會添加KVWSP.DLL 。
LSP損壞可以用360這樣的軟件,如果手邊沒有軟件,就自己動手吧 。首先將被修改的順序按照TCP/IP為000000000001,NTDS為000000000002,NLA為000000000003。其次修改Num_catalog_Entries鍵的串數,如果只到000000000003就添3,如果到000000000004就添4。最後重啟計算機,刪除流氓LSP。
現在很多流氓軟件都會強制在IE中增加一個工具條,以實現各種功能。例如鼎鼎大名的「雅虎助手」,這種情況就是瀏覽器劫持。
瀏覽器劫持和一般的病毒木馬攻擊不同,它使用各種技術插件對瀏覽器進行惡意修改,使自己成為瀏覽器的一部分,並控制你的瀏覽器進行他們想要的操作。主要表現為主頁被修改,開機彈出廣告等。
那麼在瀏覽器被劫持時我們的殺毒軟件在幹嗎呢?為什麼不阻止呢?這是因為瀏覽器劫持是通過BHO(瀏覽器輔助對象)技術進入你的電腦的,而這種技術是合法的。BHO原本是為了我們打造個性的IE的技術,可是一旦被某些別有用心的人利用後----
那我們該如何清除呢?首先,BHO文件一般保存在C:\Windows\Downloaded Program files\文件下,或者作為單獨的程序保存在C:\Program files\下。其次,通過文件屬性和文件名來判斷其是否是流氓軟件。最後,用regsvr /u 文件名這個命令來卸載DLL文件,再刪除。如果無法刪除可以去安全模式下刪除或者用Iceword,Unlocker來刪除。
2.修改註冊表
註冊表是WINDOWS的根基,也流氓軟件經常光顧的地方,很容易受到攻擊。有時出現刪除流氓後重啟又復活的情況,所以要注意清理檢查以下這些啟動項(註冊表操作要先備份!!!)
[HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run或RunOnce]
[HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或RunOnce或RunServices]
[HKEY-LOCAL-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
如果在這些啟動項裡出現了保存在系統目錄下,並以系統文件命名的啟動項,那你可要注意了!如Svchost.exe,C:\Windows\System32\hdhj.exe等。
3.Winsock LSP
如果清除完流氓軟件後出現無法上網的情況,這就可能是Winsock LSP 被破壞了。LSP是指分層服務提供商。就是WINDOWS底層網絡Socket通信必須經過的大門。流氓軟件把自己寫進去後,就可以截取,訪問,修改網絡數據包並隨意添加廣告。而且它是不分瀏覽器類型的,MT,OP,FF等都可以。由於LSP在底層工作,所以要是誤刪了LSP的DLL文件,就會導致無法上網。
LSP在註冊表的
[HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
項下。系統默認的LSP有TCP/IP組件MSWSOCK.DLL和NTDS組件WINRNR.DLL,它們的項分別是000000000001和000000000002,如果流氓軟件要劫持的話,會將自己改為000000000001,而系統的就會被向後推為000000000002等,這樣就優先處理惡意LSP拉!但是要注意有些LSP是好的,例如江民殺毒會添加KVWSP.DLL 。
LSP損壞可以用360這樣的軟件,如果手邊沒有軟件,就自己動手吧 。首先將被修改的順序按照TCP/IP為000000000001,NTDS為000000000002,NLA為000000000003。其次修改Num_catalog_Entries鍵的串數,如果只到000000000003就添3,如果到000000000004就添4。最後重啟計算機,刪除流氓LSP。
4.驅動劫持
驅動級的流氓可是非常厲害,「雅虎助手」也用了這個技術 。驅動級流氓通過把自己偽裝成普通驅動程序,系統啟動時自然會加載驅動程序,這樣流氓就實現了自己的啟動。由於驅動技術具有強大的隱藏功能,可以輕鬆的隱藏自己的進程,文件實體,通訊端口等。它也就是常說的Rootkit. 清除Rootkit病毒就要用ICEWORD。在ICEWORD中,選「查看」標籤下的「SSDT」,右側所有紅色標識的都是非系統驅動。但不是所有的非系統驅動都是流氓,Klif.sys就是我們卡巴的驅動,不要誤刪了啊 。驅動都在系統底層,一般無法刪除,而且有的在安全模式下也無法刪除,如果強行在DOS下刪可能會出現系統故障。所以我們應記住文件名,然後到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]項中找到它的鍵值並刪除。然後重啟看看是否還是紅色的,如果沒有,就表示已經刪除,再刪除文件就行了。 流氓軟件的原理基本都說完了,大多數流氓軟件都是多種方法同時使用,要想清除徹底最好還是用軟件。 當然最好還是預防為主,例如及時為IE打補丁,第三方瀏覽器一定要禁止ActiveX控件下載。安裝軟件是注意捆綁插件,去大型知名站點下載如華軍,太平洋等。另外可以安裝監控軟件如WinPatrol或SSM,前者適合菜鳥,後者需要有些電腦知識。 |
0 意見:
張貼留言