邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 手动查杀流氓插件，让插件无处藏身 [打印本页]

作者: 还没想好 时间: 2006-10-31 09:53
标题: 手动查杀流氓插件，让插件无处藏身
         本教程来自天下网管联盟 http://bbs.99191.com    作者:追风
      大家好我是追风，首先庆祝和咳嗽奋战了半个月，终于今天好多了，对这段时间没给大家做教程表示抱歉。前段时间做过<<手动查找木马病毒，让木马无处藏身>>这个视频教学，大家反映都非常好，应朋友要求说希望能有个续集做一些流氓插件查杀的教程,在当今的互联网中很多软件中都被捆绑了插件，并且都是在不知不觉中被安装，轻者有时候电脑弹出一些网站广告，重者导致电脑缓慢，IE占用大量内存，出错，经常体现在IE停止响应，打开缓慢等等。
看完这个教程，在加上我上次的教程，我想大部分的插件木马，你也可以很快的清除了。本教程也适合大部份木马病毒的杀.真的非常佩服那些开发那些这写变态插件的人，而且插件它也不停的升级，不错有一些软件它确实可以删除掉一部分插件，可是有些插件的升级导致了这些插件并不能被清除，而且升级后多次变型，加载底层驱动启动，即便是在安全模式下你还是无法清除，今天借着周末时间，教大家如何手动的查找流氓插件，让插件无处藏身。
推荐辅助软件：反黑利刃 IceSword 冰刃 V1.18 绿色汉化版
            下载地址：http://www.99191.com/Soft/security/200610/86.html
         ：恶意软件清理助手V2.17 最新绿色特别版
            下载地址：http://www.99191.com/Soft/security/200610/84.html
            365安全卫士2.0.0.3003绿色最新特别版
            下载地址：http://www.99191.com/Soft/security/200610/84.html
         首页绑架克星 HijackThis V1.99 绿色汉化特别版
            下载地址：http://www.99191.com/Soft/security/200610/87.html
         autoruns 绿色汉化特别增强版
            下载地址:http://www.99191.com/Soft/security/200610/94.html
               Norton WinDoctor（诺顿系统医生） 2006 绿色版
               下载地址:http://www.99191.com/Soft/security/200608/59.html
这几个软件是我经常在网络维护中，有时候使用的一些工具，推荐给大家，他能让大家处理病毒，木马插件时省掉很多的宝贵时间..
首先：第一步我们使用恶意软件清理助手。来查看一下自己机器上被安装的插件，我相信大部分人电脑上都能找到一些插件的，除非你从没有在网络上下载软件使用过。

此主题相关图片如下：

这里我推荐大家到一些比较安全，而且常去的网站去下载，除非网站上下不到，大家在去搜索引擎中找，
为什么有些人要在软件中捆绑插件呢？答案很简单当然是利益关系，用户装一个收取部分佣金。通过恶意软件清理助手，我们很快的就能查找出机器中被安装的插件。选择清理就能清理掉大部分的插件了，清理好后，我们在用恶意软件清理助手来检测一下，如果发现有的还没清理掉的，那么这个插件
恶意软件清理助手就无法清理干净了，通常这些插件就是使用驱动加载保护的了。清除了又会被还原。
常见的底层驱动保护的插件
1.网络实名
2、soso地址栏插件
3、CNNIC地址栏插件
4、百度搜霸、搜索伴侣
5、中搜寻址
6、360safe
7、彩信通
8、Adware.Look2Me
等等，，，
这里我们就要去分析和查找这个插件了。
1.通常打开"IE"->工具->internet选项->程序->管理加载项
这里面通常就会加载一些IE插件，比如：FLASH ,Flashget等等你安装的插件，当然一部份插见会加载在这里，我们只要选折这个插件后，禁止就可以了。这样就避免了你打开IE后，去调用这个插件，导致IE打开缓慢，这也是最简单的一个判断ie插件的地方。

此主题相关图片如下：

2.如果你需要更简单的屏蔽所有插件，你也可以在

ie属性--internet选项---高级---把里面的启用第三方浏览器扩展去掉。这样一些通过IE加载的插件也就没法用了。

此主题相关图片如下：

但是虽然ie中不会加载了，可是很多地方它还可以加载启动，所以我们必须清除干净，
通过在IE管理加载项中我们能知道这个插件的DLL文件，所以我们需要清除干净。
我们可以通过搜索找出这个文件，删除。
一般DLL文件会使用rundll32.exe来调用，所以如果无法删除的话，就需要停止这个调用的rundll32.exe加载的着个DLL。

3.通过IceSword。来查rundll32.exe加载的这个文件，结束后，再清除。
这里注意一下，有些流氓软件，会使用多个进程来监视，结束掉一个，那么又会被另一个激活。所以我们需要在IceSword中简单设置一下。点IceSword文件--设置---禁止进程创建打上沟，那么开着IceSword别的程序就无法启动了，但是有些程序我们还是无法清除，为什么呢？因为有些插件被注入到一些系统进程中去了，所以也就无法删除，一般注入的进程我们是无法在任务管理器中找到的，也无法按正常情况结束掉。

此主题相关图片如下：

那么我们还是使用IceSword来查找进程结束。比如：这个插件把进程加载到explorer进程中，那么我们就可以通过在IceSword看到explorer的右键属性-模块中找到这个DLL程序。强制结束它，然后通过在物理删除这个文件。

此主题相关图片如下：

如果通过这些操作，你的插件还不能被清除干净的话，那么这插件就做的有点水平了，比如彩信通，Adware.Look2Me 等等那么我们就需要将其保护的驱动也删除。比如我们通过恶意软件清理助手，发现彩信通加载的保护驱动是ALBUS.SYS，那么我们需要使用一些工具将其删除。
4.借用autoruns来找出加载和删除驱动。
运行autoruns之后，在它的“Options(选项）”菜单中把“Verifiy Code Signatures（验证代码签名）和“Hide Signed Microsoft Entries（隐藏已签名的微软项）“这两项都选中了，这样扫描之后，我们只看驱动（driver）这一项：就能发现不是微软签名的驱动了。当然也有许多的显卡，网开等驱动微软也没有签名，别删错了。

此主题相关图片如下：

这里提供一些驱动名称的参考
http://bbs.99191.com/dispbbs.asp?boardID=35&ID=5292&page=1
大家以后看后，如果有些木马或是插件的驱动知道的都可以告诉大家。
如果还是不能删除插件的话，我们还有最后一招，就是进入DOS模式，（你可以安装虚拟软区启动，或是光盘到DOS系统）那么经过上面的查找如果还不能清除掉插件的话，只能佩服作者的程序开发水平，对系统的认识水平，有了你们才能让我不停的进步，不停的挑战。
总结、忠告：
1. 建议大家下载软件到一些大型的比较信任的网站，安装软件时最后看看是不是使用rar自解压打包的程序，
如果是的话，你可以通过软件的右键-属性中能够看到是不是自解压软件。如果是的话，RAR会告诉你你用RAR打开，就能知道里面的程序了,可以把插件剔除。
2. 电脑一定要安装杀毒软件，这个我是推荐nod32 诺顿10 ，别的像瑞星，卡吧，如果你机器不性能不是很好的话别用。
3。查流氓软件的时候最好先使用一些辅助工具如：恶意软件清理助手，365安全卫士。先查杀，这样能减少时间，不行的话，自己再手动清楚，最后别忘了，再用恶意软件清理助手
检测一遍，如果还有没清干净的，再清理一遍。4.扫描和修复注册表，我推荐使用Norton WinDoctor（诺顿系统医生） 2006 绿色版，真的很好用。
5.检查自己系统盘中最新创建的文件.通过文件名称,配合baidu,google来查找信息.
不是最后办法，无法确定病毒能不能通过文件传播，不要轻易把带病毒的硬盘接到别的机器删除，以免病毒传播。
6.如果你能了解这些插件，木马工作原理，那么你清除起来将会容易些，所以我建议那些爱好网络，想学习的朋友，多一些自己去尝试清除一些插件。
以上提供的软件都是我认为在网络管理中有帮助的，比较好的新的版本，送给大家，通过这两章木马,病毒,插件的插杀,大多的木马你都能独立解决了。大家如果有什么问题可以访问http://bbs.99191.com给我留言,我一定会帮助大家,让我们共同学习,共同成长.

作者: jaffas1101 时间: 2006-11-1 13:07
good

作者: zhsongcao 时间: 2008-3-6 11:45
谢谢楼主,的分享，谢谢

欢迎光临邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/bbs/)