流氓软件的清除

关于最近比较流行的一些流氓软件的清除，包括www.1188.com、go.xj.cn、i8844.cn。

什么是流氓什么是病毒有什么区别：

计算机病毒也是一种软件，有隐蔽性、潜伏性、传播性、破坏性和激发性等特点，往往给用户带来数据损失。
流氓软件（也称“恶意软件”）是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。介于病毒与正规软件之间。
总的来说，病毒一定会破坏数据或影响计算机性能。流氓不破坏但是会违背用户意愿，比如我想卸载某软件但是卸载不掉或不彻底可以说该软件是流氓，在比如违背用户意愿修改浏览器首页无法恢复，属于流氓软件的范畴。正式由于这些特点，杀毒软件往往对流氓软件视而不见，其实中间还存在着公司的商业利益关系。例如：甲公司是杀软厂商，乙公司是一家新开业的互联网增值服务商，为了快速推广公司业务，乙公司采用修改用户首页的形式。如若甲公司杀软更新病毒库来杀乙公司的软件会惹来不必要的麻烦，所以大家不要期待商业公司（付费杀软）有所作为了，还是自己动手丰衣足食的好。

现在的流氓软件普遍存在着难以清除或者难以彻底清除的问题，以下我介绍两种清除流氓软件的思路可以彻底清除流氓。但是大家要知道一点，流氓也在升级，照着原文操作可能会清除不掉或者根本无法找到我这里提到的注册表键值或者文件。但是不论流氓如何变化，终究就是那么几种植入的思路。

一、在桌面上创建假IE快捷方式图标，右键点击无删除操作，如下图所示：

大家可以看到，伪装的和真IE似的还有属性设置，无删除选项，但是和真正的IE桌面图标不同右键菜单不同。
这种流氓虽然你可以不点他桌面的IE图标来顺利上网，但是看到桌面有那么个东西心里会非常的纠结就像在家里有人大便一样，一定要想办法清掉。
其实这个图标并不是快捷方式，是在注册表当中进行了一些修改导致在桌面上出现了一个IE图标，真正的根源要从注册表下手（注意：改表有风险入道需谨慎）。

在桌面按快捷键“微软徽标+r”在其中输入“regedit”，打开注册表编辑器，找到如下键值位置“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Desktop\NameSpace”。该键值下存在一些子项类似下图

这里看到的这些{xxxxxxxxxx-xxxxx-xxxxx-xxxx-xxxx-xxx}注册表项目可以决定桌面上显示的图标，最好找一个好用的截图工具，吧这里的图截取下来，之后去注册表编辑器中找到“HKEY_CLASSES_ROOT\CLSID”键值位置，在其中子项内逐一对照，展开查看“DefaultIcon”和“Shell”子项（如果没有上述两个子项的项目可以排除，进行下一个子项的对照），找到的结果如下图所示

很明显通过“DefaultIcon”子项可知，他的图标伪装成了IE浏览器的图标，打开“Shell\open\command”查看即可发现流氓的藏身之处。将上面对应的{xxxxxx-xxxxx-xxxxxx-xxxxx}删除即可，回到桌面刷新，会发现桌面原来的IE图标变成了不可识别程序的图标，这是因为“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Desktop\NameSpace”对应键值还没有清除，再回到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop
\NameSpace”找到和刚才{xxxxxx-xxxxx-xxxxxx-xxxxx}相同的子项删除即可。

二、另外还有一些流氓并不会再桌面创建不可删除的IE图标，而是直接在浏览器的快捷方式后面加入了网址，这样一开浏览器自然会到流氓的网站上，大家可以看下图浏览器的首页设置是一切正常的，但是打开浏览器依然会上流氓网站

其实是因为在浏览器的后面多了个网址，大家看下图

尝试删除，再次打开浏览器的时候一切正常了。

但是没有过多久，发现所有的浏览器快捷方式图标又被更改了。查看启动项目未见异常。最终发现，原来流氓的主程序被当成屏保了。也就是每次屏幕保护程序运行的时候都会执行流氓软件，自然所有浏览器快捷方式的图标就会被更改。如下图

这个流氓真的是很聪明，往往大家都会想到开启启动加载项有问题，或者注册表当中有问题，没有想到会有人做个流氓让系统当作屏幕保护来运行。

以上例子只是抛砖引玉的效果，还是老生常谈，流氓升级很快但是方法无外乎那么几种，重要的是自己掌握一个解决问题的思路和方法。

相关日志

• 2010年02月4日 -- 彻底手动清除流氓www.1188.com (2)