深入剖析　MY123流氓软件四种清除方法

三、手工清除办法(适合目前有一定操作技能的用户)

清除了这个流氓的手段，就可以针对来找一些清除办法了。当然，比起上一次的飘雪来，困难了许多。

1、找出驱动

要杀流氓软件的第一步，就是要找出流氓软件，可以有多种办法找出这个流氓软件。

用到我以前写的一篇文章《釜底抽薪:用autoruns揪出流氓软件的驱动保护》，我们今天就来实战一下。运行autoruns之后，在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)“Hide Signed Microsoft Entries(隐藏已签名的微软项)“，把这两项都选中了。扫描之后，我们只看驱动(driver)这一项：

可以看出来，它是假冒微软的驱动。这个驱动虽然写明是微软的，但是没有经过微软的数字签名，所以肯定是假的。(可能你的机器上显示特别多，但所有非微软的，都是有问题的)，因为是随机生成的文件名，所以你那里找出来的，可能跟我的不一样。请自己记下文件名。特征是8位随机的字母，并且公司是微软公司，但是显示(Not verified)，如果你这里不能确认，可以用下面的办法。

2、用Procexp找出驱动名来

运行Procexp，(下载地址见最后)，找到system这个进程，然后点右键——属性(Properties)——线程(Threads)，然后把下面的框子拉到最后，看有连续三个，比较无规则的八个字母的驱动，再跟autoruns对一下就可以确定是哪个驱动了。

3、删除驱动.sys

打开c:\windows\sytem32\drivers目录，由于这个.sys驱动文件把自己设为系统、隐藏，所以需要打开文件夹的显示系统文件的选项才能看到。(你也可以用这个办法来找到驱动，一般的正常驱动都不会想着隐藏自己的)。

在那个驱动文件上点右键，然后——Unlocker——会出来一个对话框，显示当前已经使用这个.sys的进程，点“Unlock“，然后再Unlocker一下显示文件已经被删除了以为大功告成了。

但是紧接着怪事就出事了，刷新一下，发觉这个文件又出现了!百思不得其解，已经确认所有的后台服务都是正常的，那个.dll也已经被删除了，这个问题困扰了许久，又拿出驱动好好研究了一下，终于发觉这个极其变态的办法——一个正常的人是不可能把写出这样的驱动的!

它注册了一个NotifyRoutine的一个回调函数，这个是一个自我修复的功能，只要系统任何进程或线程打开，它马上会调用，检查文件如果被删了就立即从内存中自动恢复!显然是针对上一次飘雪的那个手工专杀或者清除办法做的一次改进，正常办法根本不可能删掉。