手到擒来 23种恶意插件手工清除方法
作者: 陌上归雁(原创) 出处: 天极Yesky软件频道
如今,恶意软件及插件已经成为一种新的网络问题,恶意插件及软件的整体表现为清除困难,强制安装,甚至干拢安全软件的运行。下面的文章中笔者就给大家讲一部份恶意插件的手工清除方法,恶意插件实在太多,笔者无法做到一一讲解,希望下面的这些方法能为中了恶意插件的网友提供一定的帮助。
恶意插件Safobj
相关介绍:
捆绑安装,系统速度变慢,没有卸载项/无法卸载,强制安装,干扰其它软件正常运行,
清除方法:
重新注册IE项,修复IE注册。从开始->运行
输入命令 regsvr32 actxprxy.dll 确定
输入命令 regsvr32 shdocvw.dll 确定
重新启动,下载反间谍专家查有没有ADWARE,spyware,木马等并用其IE修复功能修复IE和注册表,用流氓软件杀手或微软恶意软件清除工具清除一些难卸载的网站插件。
到down.45it.com下载KillBox.exe。在C:\Program Files\Internet Explorer\目录下,把LIB目录或Supdate.log删除。
跳窗网页可能保留在HOSTS,一经上网就先触发该网址为默认,就会自动打开,检查HOSTS:
用记事本在C:\
WINDOWS\system32\drivers\etc\目录下打开HOSTS
在里面检查有没有网址,有则删除。
或在前面加
127.0.0.1
保存后屏蔽掉。
如果是弹出的信使:
从开始->运行,输入命令:
net stop msg
net stop alert
即终止信使服务。
恶意插件MMSAssist
相关介绍:
这其实是一款非常简便易用的彩信发送工具,但它却属于流氓软件!并采用了类似于木马的Hook(钩子)技术,常规的方法也很难删除它,而且很占用系统的资源。
清除方法:
方法一:它安装目录里第一个文件夹有个.ini文件,它自动从http://update.borlander.cn/updmms/mmsass.cab下载插件包,包里有albus.dll文件,UPX 0.80 - 1.24的壳,脱掉用16位进制软件打开发现这个垃圾插件利用HOOK技术插入到explorer和iexplore中,开机就在后台自动运行。
安全模式下,右键点击我的电脑-管理-服务-禁用jmediaservice服务,删除C:\windows\system32下的Albus.DAT,删除C:\WINDOWS\SYSTEM32\DRIVERS下的Albus.SYS,删除彩信通的安装文件夹,开始-运行-regedit-查找所有MMSAssist并删除,如果怕注册表还有彩信通的垃圾存在,下载个超级兔子扫描下注册表再一一删除,你也可以试试超级兔子的超级卸载功能。
要阻止它再次安装,也很简单。彻底删除它之后,你在它原来的位置新建一个与它同名的文件夹,然后将这个文件夹的权限设置为连系统管理员都是“只读”,取消“写入”和“运行”的权限。这样它就再也装不进我们的系统了。
方法二:用冰刃IceSword v1.18显示这些文件:c:\program files\mmsassist文件夹、windows\system32\albus.dat、windows\system32\drivers\Albus.SYS,把mmsassist文件夹及其子文件夹中的文件一一删除,把albus.dat、albus.sys删除。再到c:\program files下面看一下,mmsassist里又回来的两个文件,不过不要紧张,删除mmsassist文件夹,刷新,文件夹已经不见了。如果还不放心,可以进入regedit,搜索mmsassist,把带有mmsassist相关字样的键值一一清除!
好了,上面的方法大家可以试试,祝愿中招的兄弟姐妹们早日恢复迅捷流畅的操作!
恶意插件popnts.dll
相关介绍:
求助SREng日志整理出来的,主要表现是弹出广告,在收到邮件后,发现这个东东跟前段时间整理的流氓软件0848\baisoa几乎一致,看来也只是一个毫无新意的升级版
病毒文件及文件夹
%windir%\winamps.exe
%windir%\realupdate.exe
%windir%\POPNTS.DLL
%windir%\ScNotify.dll
%system%\{pchome}\.setupf\
添加注册表启动项
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
updatereal %windir%\realupdate.exe other
winsamps %windir%\winamps.exe
冒充微软信息的启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
ScCardLogn %windir%\ScNotify.dll
添加一个BHO
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
[HKEY_CLASSES_ROOT\CLSID]
{DE7C3CF0-4B15-11D1-ABED-709549C10000} %windir%\POPNTS.DLL
清除方法:
1、停止winamps.exe、realupdate.exe viruspe.com的进程
2、删除添加的所有注册表信息
3、重启后删除、或者使用Unlocker删除所有的病毒文件
PS:
1、由于病毒变种,可能实际情况与本文描述不同,但清除方法是一定的 本内容来源于电脑硬件
2、由于其具备download马特征,除此之外,可能伴随着其他病毒或流氓软件。
恶意插件WBForm
相关介绍:
这个程序其实是一个IE的恶意插件,应该属于Spyware/Adware之类的软件,会随着IE一起启动,而且有时会弹出广告窗口。
清除方法:
为了彻底删除它,重新启动电脑后不要运行IE,直接删除Windows目录下的adstate.dat和WindowsSystem32目录下的mewin.dll文件(如果无法删除请重新启动进入安全模式再删)。然后,运行注册表编辑器(Regedit),搜索并删除包含如下关键字的所有键值即可:3D898C55-74CC-4B7C-B5F1-45913F368388。
恶意插件ACTIVEX
清除方法:
1、打开IE,进入"工具-internet选项"窗口,在"常规"选项上单击"设置"按钮弹出"设置"对话框,单击"查看对象"可查看目前机器上已经安装的一些ACTIVEX控件。
2、可以在"查看对象"窗口中直接删除控件,不过这样删除只能暂时清除骚扰,要想彻底屏蔽还需要了解它的SLSID值,找到恶意ACTIVEX插件,查看属性,在常规选项卡上ID后面的就是SLSID了。
3、新建一个REG脚本,内容如下:
[hkey_local_machine\software\microsoft\internet explorer\activex compatibility\{x}](x就是在得到的SLSID)
"compatibility flags"=dword:00000400
保存后导入注册表。
“天下搜索”
相关介绍:
一开始从添加删除里面想删除这个插件,一下子就死机了,baidu上搜索如何卸载,例子有很多,总结了下,不外乎二种:手工卸载、工具卸载。
清除方法:
一、手工卸载
1,关闭IE浏览器,以免删除时程序占用而失败。
2,打开C:\WINDOWS\Downloaded Program Files\,你可以看到有个“天下搜索.ocx”控件,右键属性,选择“相关内容”选项卡,列出了其他相关文件的路径和文件名,我这里显示以下几个文件:
BARHELP22.0.DLL
IEBAR22.0.DLL
TOLLBAR.BMP
HDTBAR.XML
IEBAR.INF
以上文件所在目录都是C:\WINDOWS\Downloaded Program Files\
但直接打开这个目录却又看不到上述文件:!
3,开始-程序-附件-命令提示符
弹出dos窗口,输入以下命令:
cd.. 回车
cd.. 回车(退到C盘根目录)
cd winnt 回车
cd Downloaded Program Files 回车
你可以看到我们所要删除的几个文件
然后用del命令删除相关文件
最后回到文件夹C:\WINDOWS\Downloaded Program Files\ 将“天下搜索.ocx”删除。
4,打开regedit,删除HEKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer下的两个关于IE toolbar 下的天下搜索键值(因为个人不喜欢用任何的搜索条,把两个关于toolbar文件夹都删掉了,记不起这两个文件夹的名字了,自己慢慢在Internet Explorer 下面找)
5,至此卸载完毕,你可以打开IE浏览器,发现已经没有“天下搜索”了!
伪lsass.exe
相关介绍:
这是个木马病毒,生成程序不在C盘里。即使你重装了系统也还是会存在。
清除方法:
把系统盘放在光驱里,在调为用硬盘启动。重起机子,查找你的桌面上那个图标花了,也就是和以前的不一样了,明显的不一样的(或者是你中毒的那一天)。查看属性,生成日期是什么,记下来。然后就是比较麻烦的了,把你的电脑里除了C盘的所有盘只要是那个日期的全删了。我的是12.8号的,我就把是12.8号创建的都删了(即使你记得你的有些文件不是那天创建的,只要是那个日期就删,因为它已经被感染了。)再者,还是删系统文件C盘除外。
把你的网线拔了,重起机子。记得是从硬盘启动!把你机子上原有的杀毒软件删了,装前面你下载的那个。扫描一遍你的电脑,有可疑的全删。不能删的用冰刀强行删除。还要再删一遍系统文件还是出盘以外的。观察你的10分钟c:WINDOWS\system32\com里面还有没有lsass.exe和smss.exe?这时候我的机子没有了,真的没有了呢 呵呵高兴!
重起,调为正常启动(不用从硬盘启动)可以了,我的杀毒过程就是这样,中间可能有些步骤是不必要的。但我也说不好 所以就把解决的过程写下来了,希望对大家有用。
记得机子搞好后 用瑞星扫描下有没有漏洞,有的话就赶快修复。还有360也会查找你的系统有没有漏洞。
伪realshed恶意程序
相关介绍:
广告软件。未经用户允许,下载并安装在用户电脑上;无法彻底卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。
清除方法:
1 CTRL+ALT+DEL,结束REALSHED进程
2 打开REAPLAYER,在设置内终止它的自动更新和消息中心的相关功能,具体自己摸索下了,我这里没装这个大块头的播放软件
3 卸载REAPLAYER,并在相应目录删除它的文件夹,将它彻底消灭
如果只是普通的病毒,这样做应该可以搞定了,还不行的话,你在搜索内搜索realshed,注意打开搜索隐藏文件,或者在CMD窗口下执行DIR REALSHED*.* /A /S,找到这个垃圾的藏身之处
剩下的就是用360的删除工具把这个垃圾分尸了
另外无论你怎么操作,都记得要检查下注册表,搜索下realshed这几个字符,把相关项给删除了
如果这样还不行,那你可能要使用DRIVERVIEW,检查下你加载的驱动,把可疑的加载给删除掉
另外分析报告中以下几个很可疑,你可以直接把他们清理了
O41 - wgaalmvm - wgaalmvm - C:\WINDOWS\system32\drivers\wgaalmvm.sys - (running) - - - e67f70a1049c762ac72824683172790b
O41 - boot001 - boot001 - C:\WINDOWS\system32\drivers\boot001.sys - (not running) - - -
O41 - WINIO - WINIO - F:\winio.sys - (not running) - - -
这3项非常可疑,尤其是BOOT001.SYS和WINIO.SYS,建议将其删除并检查注册表清理之.
SpyCrush
相关介绍:
安装在“我的电脑”的C:\Program Files目录下,名叫Video ActiveX Access,会把IE主页全改为http://protectstand.com/,不会影响上网。!
清除方法:
1、开机进入安全模式(开机的时候一直不停的按F8键)。
2、启动Smit Fraud Fix(就是上面让下载的那款软件)。
3、按2,然后enter
4、它会问你是不是要清除Registry,按 Y。
重新启动电脑,OK,清理SpyCrush完毕
zh130.com弹出窗口
相关介绍:
强制安装、无法彻底删除、弹出广告
清除方法:
杀毒前关闭系统还原:右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
2启动项目 -->注册表 的如下项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><> [N/A]
<{25E1EECB-E580-4032-97A2-A456D33820D1}> [N/A]
启动项目 -->服务-->Win32服务应用程序 的如下项
[Voolume Shadow Copyre2 / ServiceCopyre9]
<>
启动项目 -->服务-->驱动程序(如果删不掉,就设置类型为disabled!)
[MSJDrvr / MSJDrvr]
3 WINDOWS清理助手清理 清理``
dudu加速器
相关介绍:
DuDu下载加速器是由领先的P2P技术公司千橡互联开发的一款基于P2P技术的极速下载软件。
清除方法:
第一次安装dudu后,在C:Program Files下生成HDP文件夹;在进程里表现出来的是MSHTA.exe和henbang.exe,分别对应的运行窗口和驻留在任务栏上的 henbang,启动项里会添加“很棒小秘书”(手动安装时会提示)。卸载它,先在“添加/删除程序”里,发现有 HAP 和 很棒小秘书 ,直接执行卸载。
注意的是,先执行卸载“HAP”,然后再执行卸载“很棒小秘书”。否则,C:Program FilesHDP依然存在,且程序完整,执行的删除没有完成。最后检查,往system32里写入的三个文件(二个ini文件,一个hbhap.dll 文件),也成功删除。
所以,如果大家电脑里有这个软件且一时无法卸载的或提示pupw.sys错误的,可主动安装一次,然后按上面方法执行卸载。
另检查一下是否有C:Program FilesHBClient,如果有,说明系统里还装有装上 很棒通行证 ,可在添加删除里执行卸载 Henbang Passport 。
“很棒小秘书”卸载方法
相关介绍:
很棒小秘书是很棒公司的代表软件,它是一个多功能的桌面信息和桌面商务平台。安装之后,不论使用任何一种搜索引擎,屏幕下方都会弹出与搜索关键词关联的广告,而且无论如何也无法彻底删除。
清除方法:
双击"c:windowssystem32"下的uninstall.exe 或者henbangkiller.exe 即可,
然后删除这两个文件和C:Program Fileshenbang文件夹。
如果你是xp sp2版,可以按照以下方法关闭它:
1:首先打开ie,然后选择“internet选项”
2:选择“程序”页,点击“管理加载项”
3:选中“UrlMonitor Class”,选择禁用此项
4:OK了
最好运行msconfig将winup.exe的加载项去掉
winup.exe
相关介绍:
木马 winup.exe经常和“很棒小秘书”一同出现,所以也要一起清除。
清除方法:
1、在IE的工具里点"管理加载项",禁用Downloadvalue Class , EyeOnIe Class ,
URLMonitor Class
2、在system32中运行一下henbangkiller.exe 再删除 winhtp.dll hap.dll
xpieknl.dll winup.exe
3、在注册表中删除
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的 winup 键
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的 updata键
在msconfig里面还有一个可疑的东西:msstart.exe 在任务管理器里干掉msstart的进程, 然后再到system32目录下delete掉msstart.exe这个文件。
卸载九鱼快车
相关介绍:
九鱼快车,弹窗网站,在浏览一些网站的时候,那些网站会有一些恶意代码使你的电脑自动下载IE插件,插件就是这个弹窗广告了。
清除方法:
1、拨掉网线,重启电脑,进入安全模式(启动电脑的时候按F8键进入)。
2、在安全模式下,打开我的电脑,搜索九鱼快车的名称www.******.com 搜索“*”部分。将搜索出来的文件全部删除掉。
3、开始-运行,输入msconfig,在启动设置里的勾全部取消。退出而不重启。
4、进入注册表(运行里输入regedit),在注册表里搜索(*)部分,将搜索出来的值项全部删除掉。
卸载EeyOnIE/4199
清除方法:
1、下载本站的费尔强制删除工具启动电脑按F8进入安全模式.
2、删除以下文件.如果删除不了就用费尔强制删除工具.
C:\WINDOWS\system32\biuky.dll
C:\WINDOWS\system32\yeheadk.dll 这个文件在注册表里搜索一下4997cd60609f9aac63a4c1204501910e值
C:\WINDOWS\system32\drivers\kanfsfm.sys 这个文件在注册表里搜索一c096dc989756c7d6a57f3fdc9bc3b9cf
C:\WINDOWS\System32\DRIVERS\osrnc.sys
C:\WINDOWS\system32\drivers\yeheadk.sys 注册表 53f365b06c3b83af46bf951fbb05ee0a
C:\WINDOWS\system32\drivers\aficthz.sys
C:\WINDOWS\system32\drivers\dadi_g.sys
提示:在开始--运行里输入 regedit 进入注册表.
3、保险一下,在我的电脑和注册表里搜索一下:EeyOnIE和4199.如果有搜索到关于EeyOnIE和4199的文件,全部删除掉.最后,我们不防进入启动项设置(运行里输入msconfig)...观察一下启动里有没有这两项相关的值.
4、重新启动电脑.卸载EeyOnIE/4199完毕.如果还未成功.清多清理一次..
卸载searchsite_pg/3839
相关介绍:
3839在线小游戏的恶意插件
清除方法:
1、建议把这篇文章复制一下。放到记事本里。然后重新启动电脑,进入安全模式(开机的时候按 F8) 。
2、在安全模式下,打开我的电脑。然后点搜索,在搜索框里输入host,将搜索到的文件打开观察,应该其中一个有Host: 127.0.0.1 localhost #test这些字。这个不要删了。删除除了这个文件之外的其他HOST文件。
3、删除每个盘下目录PROGRAFILE\3839在线小游戏\3839.dll文件。
4、在注册表中(开始--运行 输入regedit)搜索276999E8-02F7-4a55-ACFD-1F2E94402671和276999E8-02F7-4a55-ACFD-1F2E94402671还有{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A,将搜索出来的值项全部删除。这都是searchsite_pg/3839恶意插件的。
5、开始--运行 输入msconfig 然后点里面的一个启动,在里面把有关3839的内容的勾去掉。
6、还是在我的电脑里搜索一下3839.dll ,这是为了保险起见。
OK了。重启下计算机。
恶意插件ddoc
相关介绍:ddoc恶意软件和插件都杀不掉,“重启”和“安全模式”都无法。表现广告多。速度慢等。
清除方法:
1、用regworkshop搜索注册表 关键字是“a64e86”,将搜索到的结果全部用冰刃icesword删除掉,
2、HKEY_CLASSES_ROOT\clsid
还有在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
这几个目录下的值项全部用以上两个软件来删除.
3、清理ddoc成功,重新启动后看还有没有ddoc.
UUSEE病毒
相关介绍:
自动安装,无卸载程序。
清除方法:
1、打开我的电脑,选工具——文件夹选项。
然后点搜索 在第一个框里输入UUSEE。查找出来的项全部删除去。卸载UUSEE网络电视就这个样,简单!
2、开注册表(开始——运行:输入regedit),在注册表中查找uusee,查找出来的项值全部清除去。
3、开始——运行:输入msconfig,在启动项里什么也不留!切记!
4、重新启动后再重复以上步骤(除了第三步MSCONFIG之外)。
5、卸载UUSEE网络电视成功,继续自己该做的事!
rpcc
相关介绍:
这是一款在用户不知情的情况下自动安装到用户电脑上的一款恶意软件,rpcc会自动访问网络, 在屏蔽了之后只要你每次启动IE,QQ之类的这个东西又自动访问了。rpcc会不断连接不同地址的25端口,,监听不同地址的53端口。
清除方法:
1、断开网络。
2、运行“冰刃”,在结束病毒进程前,先勾选“禁止线程创建和禁止协件功能”,然后结束病毒进程。
3、运行 “sc delete 21A4AFA0”,删除病毒服务。
4、删除病毒文件
5、打开 “卡卡上网安全助手”在“系统启动项管理中”,删除所有可疑项目。
这时,会发现“rpcc.dll”这个文件删除不了(在安全模式下也不能删除),我们需要用 win98启动盘,或者从光驱启动,切换到系统目录,执行
cd system32
del rpcc.dll
即可删除。
重启后更新到最新病毒库,然后全面杀毒。
NB46工具栏
相关介绍:
NB46工具栏是在IE地址栏下方的一排如百度搜霸什么的一样的。进程NB46
清除方法:
1、进入安全模式(电脑启动的时候按F8,有的电脑是按F2的)。在安全模式里用360检测NB46文件名称。
2、将检测到的文件名搜索,既是打开我的电脑,搜索,输入检测到的文件名,将搜索到的文件全部删除去。然后再搜索NB46文件,不管是EXE还是DLL等文件,都删除掉。
3、进入启动服务(开始-运行),输入msconfig,选择启动,将与NB46相关的启动项全部把勾取消。
4、进入注册表(开始-运行),输入regedit,编辑-查找。输入nb46和检测到的文件名,见查找出来的值项全部删除。
5、重新启动。
sexmple
相关介绍:病毒修改注册表 创建系统服务项 Run/WindowsStar 实现自启动,运行后浏览器被劫持,恶意弹出广告。
清除方法:
1、先结束进程sexmple,先不急着删除sexmple,来观察一下它进程,看它是否自动启动进程?
2、如过自动启动进程,那就进入安全模式(电脑启动时按F8)。
3、在安全模式里打开我的电脑,搜索,然后搜索sexmple,将查找出来的文件和程序都删除掉。
4、在运行里输入msconfig,在启动里是否有与sexmple相关的值项,有的话就去掉勾。退出而不重启。
5、进入注册表(运行里输入regedit)查找sexmple,将查找出来的值项全部删除。
std software 流氓插件
相关介绍:
std software 其实就是一种流氓IE插件,也有很多人说它是病毒。
清除方法:
去注册表里删掉:
{6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - X:\WINDOWS\SYSTEM32\stdup.dll
和启动项HKLM\Run: [Update] X:\Program Files\Common Files\UPDATE\Update.exe
还有这个启动项HKLM\Run: [Iehelper] X:\WINDOWS\system32\iehelper.exe
WinStdup
相关介绍:
winstdup是radmin被控端。就是说被植入的机器可能让人远程控制你的电脑。中了这个的现象是弹IE出来。
清除方法:
1、先在“控制面板”-“管理工具”-“服务”中停止StdService服务,并设置服务启动类型为“禁用”。 (不过有的名字改为了Standard Update Net Service服务,可要多注意了)
2、然后进入注册表(运行里输入 regedit)就可以进入了,按F3查找StdService,找到的所有值项删除掉。多查找几次,确定没有这个之后再查找studnet。还有winstdup,三者不能放过一个。
3.进入到安全模式下,打开我的电脑-工具—文件夹选项—查看
勾选“显示系统文件夹的内容”
取消“隐藏受保护的操作系统文件” (因为有的程序比较恶意,到这项来了就象伪装LSASS)
选择“显示所有文件和文件夹”
搜索以下文件:
"stdup.dll","stdup","stdsver.dll"
搜索到的文件全部删除,一个不留。删除完毕以后再搜索stdupnet,搜索到的也一个不留,除非是自己建立的文件。呵呵,这个鬼都知道!
4、再进入注册表,查找STDUP。查找出来的也不能留,全部删除。
5、进入控制面板——添加或删除程序——“vision”
6、重启,再进入安全模式。重复以上过程。再重启,就清除WinStdup干净了。
searchnet
相关介绍:
该程序位于C:\Program Files\Searchnet文件夹,里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件(某些变种的Searchnet.exe是在C:\Program Files\下)。在C:\WINDOWS\System32还有servehost.exe文件,并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。
该木马具有以下特征:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,无法彻底删除。
清除方法:
1、用启动光盘进入系统,到\windows\system32\drives
2、将上述目录中的FAD.sys 和anfad.sys更名,(此文件不能直接被删除)
3、再将\program files\serachenet\目录下的主要文件更名(建议将此目录中的全部文件更名)
4、再删除serachnet目录即可
5、删除\windows\system32\drives更名后的文件
6、重起电脑ok。
伪装sun java恶意插件
相关介绍:
“伪装Sun Java2恶意插件”的恶意行为是“强制安装、不定时弹出广告窗口、自动恢复、无法彻底删除”。 伪装Sun Java2恶意插件,该插件能够伪造360安全卫士对话框,并互相保护,以达到删除360安全卫士,让用户电脑处于安全威胁之下的目的。据悉,目前已经有数以千计的用户不慎安装了此恶意插件。
清除方法:
方法一:
首先进入360软件使用 诊断及修复 下的漏洞扫描 打好补丁先。。
再进入安全模式 (进注册表[开始→运行→输入:regedit])
删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMEventHelper
把COMEventHelper这项删除了
删除注册表中所有跟comadevent.dll有关的选项
在进入C:\WINDOWS\system32目录下 删除
COMAdEvent.dll
COMEventHelper.bat
COMEventHelper.dll
comhobevent.dll
方法二:
1、通过重新安装的方式启动最新版本 360安全卫士,扫描清除一次“伪装Sun Java2恶意插件”;
2、马上重新启动电脑,用启动光盘引导,进入纯DOS,删除wuwebldsv.dll、wuwebldsv.bat
a:\>c:
c:\>cd windows
c:\windows>cd system32
c:\windows\system32>del wuweb*.*
3、取出光盘,重新正常启动电脑,好了!
方法三:
如出现自动生成UPdate文件夹的伪装sun java2恶意插件的情况,可如下操作则不再生成。
1、用safe360安全卫士删除。
2、修改Internet安全级别中的安全设置,把java小程序脚本给禁用掉。按以上两步完成即可!
不过禁用了java小程序脚本会不会对一些网页造成影响,没有验证。大家可以验证下。
注:以上的方法仅供参考。由于恶意的多样化。所以大家所中的sun java不一定相同,所以清除方法也未必行得通。
