确定是流氓软件的作为后,准备将它从系统中清除。虽然流氓软件和木马、病毒不一样,但是运行方式是一样的,我准备首先找到流氓软件的启动项,再一步步地进行清除。
为了增强用户的识别能力,新版SREng增加了启动项、服务危险性判断规则,当发现可疑内容时会以颜色高亮显示。红色表示高危项目,蓝色表示未知安全状态项目。笔者首先查看“注册表”启动项,SREng会自动读取Windows系统所有启动项目的内容,如果发现默认的键值被修改成非默认值,那么会弹出一个警告提示提醒用户注意,结果没有任何的可疑项目。
我想伴随着Windows 2000、XP、2003这些NT内核操作系统的逐渐普及,很多软件都“与时俱进”改用系统服务进行启动了,我想流氓软件也不会例外吧。选择“启动项目”中的“服务”标签,接着点击“Win32 服务应用程序”按钮,在弹出的窗口中就可以查看到当前系统服务情况。通过对这些进程的有效管理,能够对系统进行优化,再选择“隐藏微软服务”选项后,程序会自动地屏蔽掉发行者是Microsoft的项目,从这些非微软的服务中找到可疑之处,可是从中并没有找到可疑的启动项。
我知道除了利用系统服务外,个别流氓软件还使用驱动程序进行启动,大家看到“驱动程序”这四个字,可不要简单地和硬件设备联系到一起,其实很多应用程序在系统的底层都采用了自己编写的驱动程序,这样做的好处是不但可以增强程序的稳定性,而且还能更好地保护自己(图2)。整好SREng后增加了“驱动程序”这个项目,通过认真的检查,终于发现一处显示为红色的驱动程序,名为“Cnmin**.sys”。确定是流氓软件的驱动后,选择“删除服务”选项后,点击“设置”按钮就能删除这个驱动程序。
本文来源:电脑报2006年第25期F8版 作者:佚名