安全工程师教你流氓软件清除攻略

谈到流氓软件，有人会立刻露出“鄙视”、“愤慨”的神情，甚至比起病毒、木马来都更要憎恶，那么，缘何如此呢？首先，我们来分析下相关的性质，比如我们可以看到，和具有破坏功能、最终会危害用户数据和从事相关恶意行为的病毒程序，以篡改相关属性、项目，并通过后门上传用户数据的木马程序不同，“流氓软件”实际并非是病毒文件，因为其在表面来看，是一款工具、影音软件，有一些也确实可以使用，比如早年的划词搜索、工具栏等等，不过，首先卸载以为麻烦，甚至根本无法彻底清除干净，其次安装不知不觉，或者绑定在某软件当中，一并默认“送”入了用户的系统，或是直接整整，“霸王硬上弓”一般的让你不得不装。

(设计对白）那些软件根本没有卸载选项？这可怎么办啊

2.不同类别和危害所在

（1）纯粹强制安装，就为让你来用

既然是流氓软件，那么肯定会非常“流氓”，所以类别中第一就是纯强制安装程序，他们其实也没有什么特别的目的，很简单，就是你得用我的东西，一般或绑定在其它软件当中，或通过一些欺骗手法强制下载来完成安装。且软件安装后，无法进行卸载，使得用户还真“不得不继续使用”。#p#副标题#e#

（2）为了广告效益，不惜频繁弹窗

很多用户在安装一些软件后，会发现在使用一段后就自动出现弹窗界面，上面要么是所谓的“一个疗程、保治百病”、“只要你买，就有好戏”等搏击眼球的广告内容，要么是一些诱骗广告，色诱信息等等，让人感到无比厌烦，特别是一些每隔几分钟就自动弹出的窗口，更让人感到郁闷，同时弹窗过多，还会严重消耗系统资源，如果您正在工作或通过PPT演示，此时弹出一张“裸女”图片，相信后果也会可想而知，同时早年的工具栏软件，实际也是打着实用，实为宣传植入广告的纯粹流氓产品，一直被用户鄙视和频繁上报。

（3）劫持浏览程序，强迫吃下苦果

浏览器劫持，现在依然是安全厂商所重点预防和修正对象所在，其主要通过浏览器的一些插件程序（包括IE、傲游等）、浏览器的BHO辅助对象、LSP信息等方式，对浏览器的相关属性信息等进行篡改、修正浏览器的配置信息，比如将其强迫导入到商业网站，或“挂马”站点等等。

和我们在安装时着重小心，或许还能“躲过一劫”不同，劫持程序通常是在你浏览一些网站时，强迫进行植入和安装，使得我们根本无法完成卸载，甚至通过进入安全模式，删除相关键值等也都很难将其有效清除，比如会出现，点击卸载立刻显示系统错误，或马上提示重启，但重启后依然存在，主要程序被写保护操作等等，特定的编写方式，甚至让一些防火墙也无法有效察觉。

瑞星等安全厂商曾经多次发出“流氓软件”追杀令

（4）记录你的举动，窥视你的隐私

流氓软件另外让人最为愤慨的，无疑就是其对用户行为的分析、记录、上传功能等，尤其是美其名曰“调查使用习惯、完善产品设计”等，这样的行为，比流氓还要可恨万分，尤其是一些带有间谍性质的产品，还会将您系统中的商业数据、机密信息的专门发送给商业公司或机构，另外根据用户的爱好，还会定期进行广告信息轰炸等等，个人的QQ密码、网游账号、装备等，也在其的窥探之列。#p#副标题#e#

3.如何检测和手工清除

任务管理器里有流氓进程的存在，则代表其目前正在后台运作，如果此时你不对其进程做以结束，即使你找到对应源头，也将无法对其删除。其原因主要是由于流氓软件的自我保护方法，通过DLL文件植入的方式，强行插入桌面进程Explorer.exe，使其我们无法删除核心文件，于是，如果希望手工清除，这里需先关闭掉其具有保护意义的桌面进程，然后才可将其恶意文件删除。

通过任务管理器创建对应进程来关闭当前任务树

方法非常简单，为了关闭流氓软件插入桌面进程Explorer.exe，我们这里按住键盘上“Ctrl+Alt+Del”组合键，将“任务管理器”对话框打开，然后切入至上方“进程”标签，从中找到Explorer.exe进程，并且右击该进程名称，选择“结束进程”选项。

随后在弹出的“任务管理器警告”对话框内，单击“是（Y）”按钮，结束其桌面进程。随后返回到“任务管理器”对话框，依次单击上方“文件”→“新建任务（运行……）”选项。然后在弹出的对话框中单击“浏览”按钮，将其定位到系统目录下。其文件类型选择“显示所有文件”选项。而后找到Msdc32.dll文件将其删除即可，接下来再利用以上选中“explorer.exe”文件，单击“打开”按钮，即可恢复对应操作。

通过安全属性等，对其相关效能进行调整

另外，大多数流氓软件是利用进程，来保护自己的恶意文件不被删除，但是还是会有少量的流氓，以系统权限功能来保护自己。比如流氓文件侵入电脑后，它会把自身权限设置为任何用户禁止删除，这样普通权限用户要想删除该文件，系统就会弹出“权限不足”的对话框提示，而如此取消？我们也可以首先找到躲藏在电脑里的流氓文件，然后右击，在菜单中选择“属性”选项，切入至“安全”标签，单击“高级”按钮，在弹出的窗口去清除“从父项继承那些可以应用到子对象的权限项目”，以及“包括那些在此明确定义的项目”复选框，而后单击“删除”，就可去除所有继承的权限，单击“确定”按钮确认。

这时再回到当前文件“属性”窗口，这时我们单击“添加”按钮，将允许访问该文件的用户添加到“组和用户列表”，并且将用户权限设置为“完全控制”，这样普通用户就可对其文件里的流氓做以删除了。

通过IE浏览器的加载项管理也可轻松管理和禁用一些程序

另外，对于上面曾经谈到的浏览器劫持工具，我们通过IE7、8的浏览器加载项设定，也可以将其禁用或停用，并根据对应目录执行删除操作。#p#副标题#e#

手工清除的方法比较复杂，而且面对不同的威胁类型，我们很可能无法做到全面、彻底清除，所以，借助专业的流氓软件清理工具，则非常必要，而今天，为大家推荐的瑞星全功能安全软件2010版本和卡卡安全助手的6.0版本，就可以有效对各类木马威胁进行清除操作，其中包括卡卡软件强大的恶意软件清除功能等，更可以让我们轻松杜绝各类安全威胁。

例如通过卡卡软件，我们可以看到其为用户提供了强大的“扫描流氓软件”、“木马清理”等实用工具，执行对应的扫描操作后，软件会自动对系统内的威胁进行扫描和检测，并识别当前潜在的安全威胁。

瑞星卡卡安全助手6.1版软件扫描和检测、查杀界面

通过卡卡“扫描流氓软件”功能快速检测系统中的恶意插件

另外通过卡卡“高级”工具中的进程管理等功能，我们也可以对应名称、安全级别、PID信息等，来了解一些威胁进程数据，如果识别到威胁信息，可以快速通过对应窗口完成关闭、终止操作。

卡卡“进程管理”可方便用户快速揪出潜在的危险进程

这样，如果您对手工清除木马的手段不太熟悉，那么通过瑞星卡卡等安全工具，则是一个不错的选择，通过它，方便、彻底清除潜在威胁，还系统一重明亮，重新焕发别样青春。#p#副标题#e#

病毒借U盘传播用户使用移动设备需先杀毒

据瑞星“云安全”系统统计，本周瑞星共截获了114万个挂马网址。本周挂马网站主要针对电招聘、高校等网站。本周瑞星截获了一个蠕虫病毒“U盘蠕虫变种TEZ”，病毒运行后会隐藏文件夹或将文件夹名称修改为“文件夹名称.exe”，破坏部分系统功能，并能通过U盘不断进行传播，严重影响电脑正式使用。

本周关注的被挂马网站：

“1010Job精英招聘”、“池州信息港”、“1798国际贸易网”、“南京林业大学”、“成都大学”的部分页面被黑客挂马。黑客利用微软最新视频漏洞和服务器不安全设置进行入侵。用户访问这些页面后，可能会感染蠕虫下载器和大量木马病毒。

启动瑞星2010“木马行为防御”有效拦截挂马站点

本周关注病毒：

“U盘蠕虫（Worm.Win32.Autorun.tez）”警惕程度★★★★

这是一个通过U盘传播的蠕虫病毒，病毒运行后，结束多个系统进程，通过修改注册表键值启动项，实现开机自动启动。病毒会禁用任务管理器和文件夹选项，使得显示扩展名和隐藏文件失效，在每个盘符下生成autorun.inf和病毒文件，并将文件夹改名为“文件名.exe”。最终病毒会通过U盘、移动硬盘方式进行传播。

防范方法：

1、使用“瑞星全功能安全软件2010”，有效阻挡通过网页挂马方式传播的病毒；

2、安装卡卡上网安全助手6.1自动修复漏洞；

3、同时可拨打反病毒急救电话010-82678800或登录http://help.rising.com.cn使用在线专家门诊免费寻求帮助。

编辑点评：

在本期ZOL&瑞星技术先锋栏目中，为大家介绍了让人深恶痛绝的流氓软件的相关原理，以及如何有效防护和进行拦截，同时为大家介绍了瑞星系列安全产品在这些方面的优势所在。作为ZOL软件事业部安全行业品牌栏目 - ZOL&瑞星技术先锋栏目将长期举办，邀请更多技术专家、安全工程师为大家讲解相关安全知识、使用技巧，敬请广大网友期待！也非常希望您能给参与到我们的栏目中来。