了解流氓软件大全

合肥亮少

360s a f e能够扫描系统可疑进程、软件、启动项、注册表
键值，并给出扫描报告，根据其提供的建议进行相关操作。它
能够查杀的流氓软件列表可以到http://www.360safe.com/hlist.
h t m l查询，目前已经能查杀100多款流氓软件、近2000个恶意
条目。
①安装并运行360s a f e之后，切换到“首页”标签，单击
“开始诊断”按钮即可开始扫描。
②扫描完毕后可以看到扫描报告，其中“危险项”已经
默认处于选中状态。可以查看可疑列表的详细信息，以确定是
否修复其中非“危险项”但同样存在嫌疑的项。
③360s a f e几乎能够自动辨别所有的系统进程、注册表键
值、软件名称、B H O对象、地址栏挂钩、I E右键菜单等，扫描
报告中对每个可疑位置都有详细描述，并给出了操作建议。只
需根据其建议进行操作，勾选所有要修复的项目后单击“修复
选中项”即可。
④如果你希望让360s a f e来自动解决，可切换到“诊断及
修复”标签，单击“一键修复”，在打开的窗口中单击“立即
修复”。
⑤如果你对自己的处理没有信心，可以点击“导出诊断
报告”按钮，该报告兼容HijackThis，可以将诊断结果贴到论
坛里让高手看看，也可以点击“上传报告给安全卫士”，让
360safe的维护者进行分析。


清除工行钓鱼木马
这是一个十分狡猾的**网上银行密码的木马病毒。病
毒运行后，在系统目录下生成svchost.exe文件，然后修改注册
表启动项以使病毒文件随操作系统同时运行。病毒运行后，会
监视微软IE浏览器正在访问的网页，如果发现用户在工行网上
银行个人银行登录页面上输入了账号、密码，并进行了提交，
就会弹出伪造的IE窗，内容如下：“为了给您提供更加优良的
电子银行服务，6月25日我行对电子银行系统进行了升级。请
您务必修改以上信息！”病毒以此诱骗用户重新输入密码，并
将窃取到的密码通过邮件发送到一个指定的163信箱。
该病毒同时还会下载灰鸽子后门病毒，感染灰鸽子的系
统将被黑客远程完全控制。手工清除方法：
①在系统目录下找到svchost.exe病毒文件，并将其删除。
②打开注册表找到svchost.exe的关联键值，并将其删除。


清除敲诈者病毒
病毒在本地磁盘根目录下建立一个属性为系统、隐藏
和只读的备份文件夹，名为“控制面板.{ 21E C2020-3A E A-
1069-A2D D-08002B30309D}”，同时搜索本地磁盘上的用户
常用格式文档（包括.x l s、.d o c、.m d b、.p p t、w p s、.z i p、.
r a r），把搜索到的文件移动到上述备份文件夹中，造成用户
常用文档丢失的假象。可用以下方法解决。
①打开“工具→选项→文件夹选项→选择显示所有文件
和文件夹”，把“隐藏受保护的操作系统文件”前的√去掉。
②将根目录下的名为“控制面板”隐藏文件夹用WinRAR压
缩，然后启动WinRAR，切换到该文件夹的上级文件夹，右键单
击该文件夹，在弹出菜单中选择“重命名”。
③去掉文件夹名“控制面板”后面的I D号{21E C2020-
3A E A-1069-A2D D-08002B30309D}，即可变为普通文件夹了。


清除灰鸽子
Backdoor/Huigezi.**（灰鸽子）是一个未经授权远程访问
用户计算机的后门。以“灰鸽子”变种c m为例，该变种运行
后，会自我复制到系统目录下，修改注册表开机自启，侦听黑
客指令，记录键击，**用户机密信息，如拨号上网口令、
URL密码等，利用挂钩API函数隐藏自我，防止被查杀，还可下
载并执行特定文件，发送用户机密信息给黑客等。手工清除方
法：
① 运行R E G E D I T 命令打开注册表编辑器， 定位到
H K E Y_L O C A L_M A C H I N E\S Y S T E M\C o n t r o l S e t001S e r v i c e s\
GrayPige**erver，将该键值删除。
②进入X:\w i n d o w s（X:代表系统盘），设置显示所有文件
（或显示隐藏文件），找到G_server.exe和G_server.dll以及
G_server_hook.dll三个文件，正常模式下，无法删除这三个文
件，通过重启电脑到安全模式下或使用第三方强力删除工具将
三个文件删除。

隐藏文件的恶意病毒
一个隐藏电脑文件的恶意勒索病毒在互联网上肆虐，该
木马病毒运行后会将你的Word文档、Excel表格文件以及RAR和
Z i p压缩包等重要的文件隐藏，并在桌面上建立一个文件，内
容大致为：“你的硬盘资料丢失了……你必须使用磁盘修复工
具拯救找回丢失的资料文件，但是，你正在使用的不是正版软
件，是** ……尽快购买正版的软件……”。这个家伙还会
在开始菜单的“附件”组中生成名为“修复硬盘资料”的快捷
方式。当你运行“修复硬盘资料”程序（恶意程序）后会提示
你向一个银行账号汇款，获取“注册码”，能找回硬盘数据。
其实它并没有对文件进行加密，只是利用了系统隐藏属
性和C L S I D对文件进行了隐藏。病毒会在各盘的根目录下创建
一个“控制面板”的文件夹，并将各分区.d o c、.x l s、.r a r、.
z i p等文件移动到这个文件夹下。知道了病毒的原理，找回它
隐藏的数据就很容易了。

合肥亮少

对恶意勒索病毒说不
①打开“我的电脑”，点击“工具→文件夹选项→查
看”。选择“显示所有文件和文件夹”，并去掉“隐藏受保护
的操作系统文件”前的对钩。
② 进入各盘的根目录下， 可以看到名为“ 控制面
板.{21EC2020-3AEA-1069-A2DD-08002B30309D}”的文件夹。
由于使用了C L S I D，点击这个文件夹的时候会自动进入控制面
板。将这个文件夹重新命名，去掉后面的那长串字符，再双击
就可以进入该文件夹了。被病毒隐藏的文件都在这个文件夹
中，并且没有被加密，直接复制到原位置就恢复了数据。

 

Mcafee能卸掉哪些杀毒软件
经过在V M w a r e中实测，T r e n d O f f i c e S c a n企业版、
F-Secure Antivirus、Kaspersky pro、eTrust Antivirus，不
管是否具有卸载密码都适用，M c a f e e究竟能卸掉哪些杀毒
软件，可参看http://www.mcafeeasap.com/intl/CHS/content/virusscan_asap/faq/uninstall.asp

合肥亮少

Mcafee VirusScan带密码杀毒软件也卸载 安装的N o r t o n企业版无法卸载，需要卸载密码才可以卸 载。手工卸载需要删除N o r t o n的安装文件夹并手工清理N多的 注册表键值，想想就头痛，看看另类卸载**。 ①找到Mcafee VirusScan Enterprise 8.0i的安装程序， 或者从网上下载Mcafee VirusScan（下载地址：http://www. mcafeeasap.com/asp_subscribe/trial_vs.asp）的试用版。填写 注册信息并选择语言为中文。 ②解压之后运行s e t u p进行安装，这时就会提示“建议删 除下列产品：Norton Antivirus 9.x for Windows NT，是否现 在删除？”选择删除。 ③几分钟后安装程序还是停留在上面的窗口，而右下 角任务栏那个N o r t o n企业版的小盾牌图标消失，最后出现 VirusScan的安装界面。 ④下一步取消Mcafee VirusScan的安装，查看“添加/删除 程序”里面，Symantec Antivirus已经不见了，只剩下与之有 关的Symantec LiveUpdate 2.0，将其卸载掉。 ⑤然后到Windows的桌面上点击右键测试，卸载成功！

TOP

Mcafee VirusScan带密码杀毒软件也卸载
安装的N o r t o n企业版无法卸载，需要卸载密码才可以卸
载。手工卸载需要删除N o r t o n的安装文件夹并手工清理N多的
注册表键值，想想就头痛，看看另类卸载**。
①找到Mcafee VirusScan Enterprise 8.0i的安装程序，
或者从网上下载Mcafee VirusScan（下载地址：http://www.
mcafeeasap.com/asp_subscribe/trial_vs.asp）的试用版。填写
注册信息并选择语言为中文。
②解压之后运行s e t u p进行安装，这时就会提示“建议删
除下列产品：Norton Antivirus 9.x for Windows NT，是否现
在删除？”选择删除。
③几分钟后安装程序还是停留在上面的窗口，而右下
角任务栏那个N o r t o n企业版的小盾牌图标消失，最后出现
VirusScan的安装界面。
④下一步取消Mcafee VirusScan的安装，查看“添加/删除
程序”里面，Symantec Antivirus已经不见了，只剩下与之有
关的Symantec LiveUpdate 2.0，将其卸载掉。
⑤然后到Windows的桌面上点击右键测试，卸载成功！