扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:赛迪网技术社区 2007年10月11日
关键字:
在本页阅读全文(共4页)
三、手工清除办法(适合目前有一定操作技能的用户)
清除了这个流氓的手段,就可以针对来找一些清除办法了。当然,比起上一次的飘雪来,困难了许多。
1、找出驱动
要杀流氓软件的第一步,就是要找出流氓软件,可以有多种办法找出这个流氓软件。
用到我以前写的一篇文章《釜底抽薪:用autoruns揪出流氓软件的驱动保护》,我们今天就来实战一下。运行autoruns之后,在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)“Hide Signed Microsoft Entries(隐藏已签名的微软项)“,把这两项都选中了。扫描之后,我们只看驱动(driver)这一项:
可以看出来,它是假冒微软的驱动。这个驱动虽然写明是微软的,但是没有经过微软的数字签名,所以肯定是假的。(可能你的机器上显示特别多,但所有非微软的,都是有问题的),因为是随机生成的文件名,所以你那里找出来的,可能跟我的不一样。请自己记下文件名。特征是8位随机的字母,并且公司是微软公司,但是显示(Not verified),如果你这里不能确认,可以用下面的办法。
2、用Procexp找出驱动名来
运行Procexp,(下载地址见最后),找到system这个进程,然后点右键——属性(Properties)——线程(Threads),然后把下面的框子拉到最后,看有连续三个,比较无规则的八个字母的驱动,再跟autoruns对一下就可以确定是哪个驱动了。
3、删除驱动.sys
打开c:\windows\sytem32\drivers目录,由于这个.sys驱动文件把自己设为系统、隐藏,所以需要打开文件夹的显示系统文件的选项才能看到。(你也可以用这个办法来找到驱动,一般的正常驱动都不会想着隐藏自己的)。
在那个驱动文件上点右键,然后——Unlocker——会出来一个对话框,显示当前已经使用这个.sys的进程,点“Unlock“,然后再Unlocker一下显示文件已经被删除了以为大功告成了。
但是紧接着怪事就出事了,刷新一下,发觉这个文件又出现了!百思不得其解,已经确认所有的后台服务都是正常的,那个.dll也已经被删除了,这个问题困扰了许久,又拿出驱动好好研究了一下,终于发觉这个极其变态的办法——一个正常的人是不可能把写出这样的驱动的!
它注册了一个NotifyRoutine的一个回调函数,这个是一个自我修复的功能,只要系统任何进程或线程打开,它马上会调用,检查文件如果被删了就立即从内存中自动恢复!显然是针对上一次飘雪的那个手工专杀或者清除办法做的一次改进,正常办法根本不可能删掉。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。