十大流氓软件完全卸载方案 - 病毒木马 - - 网络安全 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 网络安全 » 病毒木马 » 十大流氓软件完全卸载方案 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

86808801

超级版主

帖子 4526
精华 12
无忧币 26058
积分 17144
阅读权限 200
来自 (保密)

注册日期 2005-12-18

最后登录 2008-8-15

离线

[查看资料] [发短消息] [Blog]

发表于:2006-3-15 18:52　　标题：十大流氓软件完全卸载方案
＜上一帖 | 下一帖＞

QUOTE:

3721 上网助手、地址栏搜索及网络实名
详见下文

淘宝网
详见下文

eBay 易趣
详见常用反制工具

dudu 下载加速器
详见下文

中文上网
详见下文

青娱乐聊天软件
控制面板→添加\删除程序即可卸载

很棒小秘书
详见下文

百度搜霸、百度超级搜霸
控制面板→添加\删除程序即可卸载

一搜工具条
控制面板→添加\删除程序即可卸载

网络猪、划词搜索
详见下文

1.3721的卸载

　　首先，用3721自带的卸载功能卸载3721，但是这个3721网络实名插件是使用Rundll32.exe调用连接库的，系统无法终止Rundll32.exe进程，所以我们必须重新启动计算机，按 F8 进入安全模式（F8 只能按一次，千万不要多按！）之后，单击开始 → 运行 regedit.exe 打开注册表，进入：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
　　删除键：CnsMin，其键值为：Rundll32.exe C:WINNTDOWNLO~1CnsMin.dll,Rundll32
　　（如果是win98，这里的 C:WINNTDOWNLO~1 为 C:WINDOWSDOWNLO~1）
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions
　　删除整个目录：!CNS
　　这个目录在 Internet 选项 -> 高级中加入了3721网络实名的选项。
　　HKEY_LOCAL_MACHINESOFTWARE3721 以及 HKEY_CURRENT_USERSoftware3721
　　删除整个目录：3721

注：如果您安装了3721的其它软件，如“极品飞猫”等，则应删除整个目录：
　　HKEY_LOCAL_MACHINESOFTWARE3721CnsMin 以及　
　　HKEY_CURRENT_USERSoftware3721CnsMin
　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
　　删除键：CNSEnable 其键值为：a2c39d5f
　　删除键：CNSHint 其键值为：a2c39d5f
　　删除键：CNSList 其键值为：a2c39d5f

　　在删除完注册表中的项之后，还需要删除存储在硬盘中的3721网络实名文件。
　　删除如下文件：
　　C:WINNTDOWNLO~1 目录下
　　（如果是win98，这里的 C:WINNTDOWNLO~1 为 C:WINDOWSDOWNLO~1 下同）
2001-08-09 15:34
3721
2001-08-02 17:03 40,960 cnsio.dll
2001-08-08 14:14 102,400 CnsMin.dll
2001-08-24 23:14 42 CnsMin.ini
2001-08-09 10:18 13,848 CnsMinEx.cab
2001-07-06 17:57 32,768 CnsMinEx.dll
2001-08-25 02:52 115 CnsMinEx.ini
2001-08-25 02:51 17,945 CnsMinIO.cab
2001-08-02 17:02 32,768 CnsMinIO.dll
2001-08-24 23:15 40,793 CnsMinUp.cab
C:WINNTDOWNLO~13721 目录下
2001-08-02 17:03 40,960 cnsio.dll
2001-08-24 15:53 102,400 CnsMin.dll
2001-07-06 17:59 213 CnsMin.inf
2001-08-24 15:48 28,672 CnsMinIO.dll
　　以上文件全部删除，这样3721网络实名“病毒”就从您的计算机中全部清除了。
　　最后，重新启动计算机，进入正常模式。现在已经完全没有3721网络实名的困扰了！

2.阻止“淘宝”网弹出窗口的办法

　　IE用户的免疫方法

　　如果系统是win 2000/XP/2003，请在“开始”→“运行”中输入：
　　notepad.exe %windir%\system32\drivers\etc\hosts

　　如果系统是win 98/me，请在“开始”→“运行”中输入：
　　notepad.exe %windir%\hosts

　　如果系统提示：
　　找不到文件hosts.txt是不是创建新的文件？请选择否

　　在最后添加如下内容：

　　#kill taobao
　　0.0.0.0 www.taobao.com
　　0.0.0.0 page.taobao.com
　　0.0.0.0 search.taobao.com
　　0.0.0.0 taobao.com
　　0.0.0.0 www.unionsky.cn #掏宝网广告代理
　　0.0.0.0 www.allyes.com #掏宝网广告代理

　　保存后，重启计算机即可。(XP/2003系统不需重启)

　　如果在前面操作遇到提示找不到文件hosts.txt，请按照以下步骤保存：
　　用菜单：文件-->另存为
　　在“文件另存为”对话框中，把文件类型改为“所有文件(*.*)”
　　再输入文件名:

　　如果系统是win 2000/XP/2003，请输入（建议复制粘贴）：
　　 %windir%\system32\drivers\etc\hosts

　　如果系统是win 98/me，请输入（建议复制粘贴）：
　　%windir%\hosts

　　点[确定]按钮。

　　用My IE2、GreenBrowser、Maxthon屏蔽办法：

　　启动窗口过滤、网页内容过滤
　　把下列网页加入弹出窗口过滤、网页内容过滤列表：
　　http://*.unionsky.cn/*
　　http://*.unionsky.*/*.*
　　http://www.unionsky.cn/script/*
　　http://www.unionsky.cn/script/*.*
　　http://adtaobao.allyes.com/*

3.如何删除dudu加速器

　　第一次安装dudu后，在C:\Program Files下生成HDP文件夹；在进程里表现出来的是MSHTA.exe和henbang.exe，分别对应的运行窗口和驻留在任务栏上的 henbang，启动项里会添加“很棒小秘书”（手动安装时会提示）。卸载它，先在“添加/删除程序”里，发现有 HAP 和很棒小秘书，直接执行卸载。
注意的是，先执行卸载“HAP”，然后再执行卸载“很棒小秘书”。否则，C:\Program Files\HDP依然存在，且程序完整，执行的删除没有完成。最后检查，往system32里写入的三个文件（二个ini文件，一个hbhap.dll 文件），也成功删除。
　　所以，如果大家电脑里有这个软件且一时无法卸载的或提示pupw.sys错误的，可主动安装一次，然后按上面方法执行卸载。
　　另检查一下是否有C:\Program Files\HBClient，如果有，说明系统里还装有装上很棒通行证，可在添加删除里执行卸载 Henbang Passport 。

4.中文通用网址的卸载

　　首先进入安全模式。把C:\Program Files目录下的CNNIC目录给删除，然后打开注册表编辑器。在运行-〉regedit，在安全模式下就可以删除这两个键值了。
　　在安全模式下把Run目录下的CdnCtr和ExFilter这两个键值删除。然后对注册表进行查找。查找一切和CNNIC、cdnup.exe字符有关的键值和目录。统统删除。OK。现在再重新启动机器。烦人的CNNIC终于离我而去了。不过CNNIC这样被删除之后。好像会导致不能在IE窗口中输入中文。不知道有没有其它人碰到这种情况。还有一个方法可以避免下次再次运行这个烦人的插件。新建一个文本文件，内容如下：
REGEDIT4
#9A578C98-3C2F-4630-890B-FC04196EF420 /CNNIC
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9A578C98-3C2F-4630-890B-FC04196EF420}]
"Compatibility Flags"=dword:00000400
保存为.reg的文件，然后双击执行此文件即可。

5.“很棒小秘书”卸载方法

　　双击"c:\windows\system32"下的uninstall.exe 或者henbangkiller.exe 即可，
然后删除这两个文件和C:\Program Files\henbang文件夹。

　　如果你是xp sp2版，可以按照以下方法关闭它：
　　1：首先打开ie，然后选择“internet选项”
　　2：选择“程序”页，点击“管理加载项”
　　3：选中“UrlMonitor Class”，选择禁用此项
　　4：OK了

　　最好运行msconfig将winup.exe的加载项去掉

　　木马 winup.exe 彻底删除方法

　　木马 winup.exe经常和“很棒小秘书”一同出现，所以也要一起清除。

　　1、在IE的工具里点"管理加载项",禁用Downloadvalue Class , EyeOnIe Class ,
URLMonitor Class
　　 2、在system32中运行一下henbangkiller.exe 再删除 winhtp.dll hap.dll
xpieknl.dll winup.exe
　　 3、在注册表中删除
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的 winup 键
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的 updata键

　　在msconfig里面还有一个可疑的东西：msstart.exe 在任务管理器里干掉msstart的进程, 然后再到system32目录下delete掉msstart.exe这个文件。

6.“网络猪”与“划词搜索”的卸载

　　网络猪与划词搜索虽然可以通过添加\删除软件进行卸载，但是总卸载不干净，必须要手动删除安装目录。为此你首先需要卸载掉网络猪与划词搜索；然后单击“开始”－“运行”，输入“msconfig”，回车后在弹出的窗口中选择“启动”标签，在启动中找到“SEARCH.EXE”，去除前边的勾选；按“Ctrl+Shift+ESC”打开“任务管理器”，在进程中结束“SEARCH.EXE”；单击“开始”－“运行”，输入“regedit”，打开注册表，搜索“SEARCH.EXE”的项值，删除相关的项。最后删除整个安装目录。

ＡＩＸ:g.51cto.com/aix

2006-3-15 18:52

1楼

[ 顶部 ]

零距离

主版主

帖子 6654
精华 21
无忧币 149797
积分 129736
阅读权限 150
来自 (保密)

注册日期 2005-11-30

最后登录 2008-9-6

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2006-3-15 18:55　

好贴。。。。

网络工程师到底该不该去考CCIE认证？

2006-3-15 18:55

2楼

[ 顶部 ]

mayihedaxiang 性别:男

助理工程师

帖子 597
精华 2
无忧币 1317
积分 1463
阅读权限 40

注册日期 2006-2-20

最后登录 2007-12-28

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2006-3-15 19:36　

正想找他呢!

天行健,君子自强不息!

2006-3-15 19:36

3楼

[ 顶部 ]

爱随我意
技术员

帖子 160
精华 0
无忧币 482
积分 373
阅读权限 30

注册日期 2006-4-7

最后登录 2007-7-17

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2006-4-7 16:19　

我太佩服楼主了，专家太多了

2006-4-7 16:19

4楼

[ 顶部 ]

zhudc
技术员

帖子 780
精华 1
无忧币 1136
积分 891
阅读权限 30
来自 (保密)

注册日期 2006-4-6

最后登录 2007-12-27

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2006-4-9 14:50　

清的多了，经验也就有了！

感谢苦难，感谢生活！
QQ:345773873
ICQ:204561557
Yahoo:lovezhudaochen
Mail:zhudaochen@126.com
MSN:lovezhudaochen@hotmail.com
Gmail:zhudaochen@google.com

2006-4-9 14:50

5楼

[ 顶部 ]

红色代码

荣誉会员

帖子 1208
精华 9
无忧币 7985
积分 10594
阅读权限 140
来自 (保密)

注册日期 2005-11-11

最后登录 2007-12-11

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2006-4-12 13:21　

根据实验，划词搜索通过这种方法是卸不掉的，你会发现你修改msconfig的启动项都没有用。一旦你修改完确定后再打开看，又被改了回来。
原因是它使用了底层驱动技术，记得好象是system32\drivers\anfad.sys文件在捣鬼。必须在DOS模式下干掉这个文件，然后才有效的能进行其他操作。

这里友情提供一款网上找来的划词搜索卸载工具，自己没验证过，但还是提供给大家。验证过的朋友麻烦说一声。

附件(查看下载说明): kill_huaci.rar (2006-4-12 13:23,大小:176.93 K)
该附件被下载 43 次您下载该主题帖内所有附件同时将被扣掉2点无忧币　查看分数政策说明

偶不是网管，请勿咨询任何技术问题，偶是菜鸟！偶的博客：life.blog.54master.com

2006-4-12 13:21

6楼

[ 顶部 ]

冰雪寒

超级版主

帖子 2874
精华 45
无忧币 68670
积分 42128
阅读权限 200
来自 (保密)

注册日期 2006-1-19

最后登录 2008-9-3

离线

[查看资料] [发短消息] [Blog]

发表于:2006-4-12 23:14　

感谢楼主提供．．

天也空，地也空，人生渺渺在其中；
日也空，月也空，东升西坠为谁功；
金也空，银也空，死后何曾在手中；
妻也空，子也空，黄泉路上不相逢；
权也空，名也空，转眼荒郊土一封。

2006-4-12 23:14

7楼

[ 顶部 ]

Casarnowa

新新人类

帖子 8
精华 0
无忧币 31
积分 23
阅读权限 20

注册日期 2006-4-13

最后登录 2007-9-30

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2006-4-13 11:25　

不错。现在也正在查找解决这些流氓软件的办法

2006-4-13 11:25

8楼

[ 顶部 ]

pie
新新人类

帖子 13
精华 0
无忧币 52
积分 42
阅读权限 20

注册日期 2006-2-28

最后登录 2006-4-13

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2006-4-13 16:10　

QUOTE:

原帖由 红色代码 于 2006-4-12 13:21 发表
根据实验，划词搜索通过这种方法是卸不掉的，你会发现你修改msconfig的启动项都没有用。一旦你修改完确定后再打开看，又被改了回来。
原因是它使用了底层驱动技术，记得好象是system32\drivers\anfad.sys文件在捣 ...

不错，很难清掉。用其他盘启动，删除2个sys文件，或者使用XP控制台修复，来删除之，只有这个办法才能清除！

2006-4-13 16:10

9楼

[ 顶部 ]

huangxin_
新新人类

帖子 13
精华 0
无忧币 27
积分 17
阅读权限 20

注册日期 2006-4-15

最后登录 2006-4-21

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2006-4-15 12:15　　标题：十大流氓软件完全卸载方案