邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 手动查杀流氓插件,让插件无处藏身 [打印本页]

作者: 还没想好    时间: 2006-10-31 09:53
标题: 手动查杀流氓插件,让插件无处藏身
            本教程来自天下网管联盟    http://bbs.99191.com       作者:追风
        大家好我是追风,首先庆祝和咳嗽奋战了半个月,终于今天好多了,对这段时间没给大家做教程表示抱歉。前段时间做过<<手动查找木马病毒,让木马无处藏身>>这个视频教学,大家反映都非常好,应朋友要求说希望能有个续集做一些流氓插件查杀的教程,在当今的互联网中很多软件中都被捆绑了插件,并且都是在不知不觉中被安装,轻者有时候电脑弹出一些网站广告,重者导致电脑缓慢,IE占用大量内存,出错,经常体现在IE停止响应,打开缓慢等等。
看完这个教程,在加上我上次的教程,我想大部分的插件木马,你也可以很快的清除了。本教程也适合大部份木马病毒的杀.真的非常佩服那些开发那些这写变态插件的人,而且插件它也不停的升级,不错有一些软件它确实可以删除掉一部分插件,可是有些插件的升级导致了这些插件并不能被清除,而且升级后多次变型,加载底层驱动启动,即便是在安全模式下你还是无法清除,今天借着周末时间,教大家如何手动的查找流氓插件,让插件无处藏身。
推荐辅助软件:反黑利刃 IceSword 冰刃 V1.18 绿色汉化版
              下载地址:http://www.99191.com/Soft/security/200610/86.html
            :恶意软件清理助手V2.17 最新绿色特别版
              下载地址:http://www.99191.com/Soft/security/200610/84.html
              365安全卫士2.0.0.3003绿色最新特别版
              下载地址:http://www.99191.com/Soft/security/200610/84.html
             首页绑架克星 HijackThis V1.99 绿色汉化特别版
               下载地址:http://www.99191.com/Soft/security/200610/87.html
             autoruns 绿色汉化特别增强版
                下载地址:http://www.99191.com/Soft/security/200610/94.html
                 Norton WinDoctor(诺顿系统医生) 2006 绿色版
                 下载地址:http://www.99191.com/Soft/security/200608/59.html
这几个软件是我经常在网络维护中,有时候使用的一些工具,推荐给大家,他能让大家处理病毒,木马插件时省掉很多的宝贵时间..
首先:第一步我们使用恶意软件清理助手。来查看一下自己机器上被安装的插件,我相信大部分人电脑上都能找到一些插件的,除非你从没有在网络上下载软件使用过。

此主题相关图片如下:

这里我推荐大家到一些比较安全,而且常去的网站去下载,除非网站上下不到,大家在去搜索引擎中找,
为什么有些人要在软件中捆绑插件呢? 答案很简单当然是利益关系,用户装一个收取部分佣金。通过恶意软件清理助手,我们很快的就能查找出机器中被安装的插件。选择清理就能清理掉大部分的插件了, 清理好后,我们在用恶意软件清理助手来检测一下,如果发现有的还没清理掉的,那么这个插件
恶意软件清理助手就无法清理干净了,通常这些插件就是使用驱动加载保护的了。清除了又会被还原。
常见的底层驱动保护的插件
1.网络实名
2、soso地址栏插件
3、CNNIC地址栏插件
4、百度搜霸、搜索伴侣
5、中搜寻址
6、360safe
7、彩信通
8、Adware.Look2Me
等等,,,
这里我们就要去分析和查找这个插件了。
1.通常打开"IE"->工具->internet选项->程序->管理加载项
这里面通常就会加载一些IE插件,比如:FLASH ,Flashget等等你安装的插件,当然一部份插见会加载在这里,我们只要选折这个插件后,禁止就可以了。这样就避免了你打开IE后,去调用这个插件,导致IE打开缓慢,这也是最简单的一个判断ie插件的地方。

此主题相关图片如下:


此主题相关图片如下:

2.如果你需要更简单的屏蔽所有插件,你也可以在

ie属性--internet选项---高级---把里面的启用第三方浏览器扩展去掉。 这样一些通过IE加载的插件也就没法用了。
此主题相关图片如下:

但是虽然ie中不会加载了,可是很多地方它还可以加载启动,所以我们必须清除干净,
通过在IE管理加载项中我们能知道这个插件的DLL文件,所以我们需要清除干净。
我们可以通过搜索找出这个文件,删除。
一般DLL文件会使用rundll32.exe来调用,所以如果无法删除的话,就需要停止这个调用的rundll32.exe加载的着个DLL。

3.通过IceSword。来查rundll32.exe加载的这个文件,结束后,再清除。
这里注意一下,有些流氓软件,会使用多个进程来监视,结束掉一个,那么又会被另一个激活。所以我们需要在IceSword中简单设置一下。点IceSword文件--设置---禁止进程创建打上沟,那么开着IceSword别的程序就无法启动了,但是有些程序我们还是无法清除,为什么呢? 因为有些插件被注入到一些系统进程中去了,所以也就无法删除,一般注入的进程我们是无法在任务管理器中找到的,也无法按正常情况结束掉。

此主题相关图片如下:

那么我们还是使用IceSword来查找进程结束。比如:这个插件把进程加载到explorer进程中,那么我们就可以通过在IceSword看到explorer的右键属性-模块中找到这个DLL程序。强制结束它,然后通过在物理删除这个文件。

此主题相关图片如下:


此主题相关图片如下:

如果通过这些操作,你的插件还不能被清除干净的话,那么这插件就做的有点水平了,比如彩信通,Adware.Look2Me 等等那么我们就需要将其保护的驱动也删除。比如我们通过恶意软件清理助手,发现彩信通加载的保护驱动是ALBUS.SYS,那么我们需要使用一些工具将其删除。
4.借用autoruns来找出加载和删除驱动。
运行autoruns之后,在它的“Options(选项)”菜单中把“Verifiy Code Signatures(验证代码签名)和“Hide Signed Microsoft Entries(隐藏已签名的微软项)“这两项都选中了,这样扫描之后,我们只看驱动(driver)这一项:就能发现不是微软签名的驱动了。当然也有许多的显卡,网开等驱动微软也没有签名,别删错了。

此主题相关图片如下:

这里提供一些驱动名称的参考
http://bbs.99191.com/dispbbs.asp?boardID=35&ID=5292&page=1
大家以后看后,如果有些木马或是插件的驱动知道的都可以告诉大家。
如果还是不能删除插件的话,我们还有最后一招,就是进入DOS模式,(你可以安装虚拟软区启动,或是光盘到DOS系统)那么经过上面的查找如果还不能清除掉插件的话,只能佩服作者的程序开发水平,对系统的认识水平,有了你们才能让我不停的进步,不停的挑战。
总结、忠告:
1. 建议大家下载软件到一些大型的比较信任的网站,安装软件时最后看看是不是使用rar自解压打包的程序
   如果是的话,你可以通过软件的右键-属性中能够看到是不是自解压软件。如果是的话,RAR会告诉你    你用RAR打开,就能知道里面的程序了,可以把插件剔除。
2. 电脑一定要安装杀毒软件,这个我是推荐nod32 诺顿10 ,别的像瑞星,卡吧,如果你机器不性能不是很好的话别用。
3。查流氓软件的时候最好先使用一些辅助工具如:恶意软件清理助手,365安全卫士。先查杀,这样能减少时间,不行的话,自己再手动清楚,最后别忘了,再用恶意软件清理助手
检测一遍,如果还有没清干净的,再清理一遍。4.扫描和修复注册表,我推荐使用Norton WinDoctor(诺顿系统医生) 2006 绿色版,真的很好用。
5.检查自己系统盘中最新创建的文件.通过文件名称,配合baidu,google来查找信息.
  不是最后办法,无法确定病毒能不能通过文件传播,不要轻易把带病毒的硬盘接到别的机器删除,以免病毒传播。
6.如果你能了解这些插件,木马工作原理,那么你清除起来将会容易些,所以我建议那些爱好网络,想学习的朋友,多一些自己去尝试清除一些插件。
以上提供的软件都是我认为在网络管理中有帮助的,比较好的新的版本,送给大家,通过这两章木马,病毒,插件的插杀,大多的木马你都能独立解决了。大家如果有什么问题可以访问http://bbs.99191.com给我留言,我一定会帮助大家,让我们共同学习,共同成长.


作者: jaffas1101    时间: 2006-11-1 13:07
good
作者: zhsongcao    时间: 2008-3-6 11:45
谢谢楼主,的分享,谢谢




欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.cn/BBS/) Powered by Discuz! X3.2