記.四年之隔，再戰流氓軟體全家桶~大獲全勝。（如何清除各式流氓軟體教程）

因為自己是個經常搞電腦的人，所以從很久以前開始就和流氓軟體打交道了。不管是替自家的電腦還是朋友，同事的電腦搞維護，經常碰見各種噁心又頑固的流氓軟體，並且隨著歲月的流逝也見證著這玩意兒日新月異，與時俱進的不斷‘進化’。

最早的流氓軟體頂多就是利用的一些個WINDOWS系統自帶不為多數使用者所熟悉的命令功能比如快捷鍵屬性引數內呼叫命令指向特定網址什麼的這類小把戲，傳播也主要依賴所謂電腦城版GHOST或者是一些網上普通的小工具軟體。所以那時候的使用者遇到了瀏覽器被劫持了，上網搜尋一下一般總會有好心的懂電腦知識的人出來解答，問題往往比較好解決。

但是在現如今的高速流量的網路時代，可就險惡多了。一個常用的解壓軟體，或者是系統啟用工具，裝機引導工具甚至只是一個網頁的載入彈窗，都足以塞下體積小小的流氓軟體。加上某些網站無良無底線的恰爛錢，助紂為虐甚至自家也參與其中分一杯羹的推廣，簡直防不勝防。而一旦中招，往往它們不僅僅是劫持你的瀏覽器，還會不斷利用定時指令碼結合系統內部組策略的方式不斷給你自動安裝各種它收了推廣費的軟體。沒有比較豐富的電腦知識的使用者根本拿它一點辦法都沒有，只能重灌系統或者忍受著這種強暴式的“硬核推廣”。

我的電腦因為用途非常多，裝了很多環境類軟體，所以輕易是不能重灌的。因此從最開始的裝機環節開始就一直是小心翼翼，不用任何所謂免費又便利的傻瓜化國產小工具。因為我知道那些都是加了料的。並且我也是有過前車之鑑——大概4年前吧，當時一不小心用了一下2345出品的好壓軟體中了2345的流氓軟體全家桶。花了足足一週，查遍了各種資料但是還是不能完全刪除它。說實在的，從那個時候起我就覺得這東西已經不能稱之為流氓軟體了，它就是赤裸裸的木馬病毒。而且還出自2345所謂的技術聯盟之手，據說裡面都是高薪聘請的程式設計師。所以最終我滿懷著挫敗感無奈地選擇了重灌系統。

4年後的今天，我偶然間下了一個虛擬機器映象，結果開啟才發現這個映象裡自帶的啟用工具是之前被火絨卡巴等防毒軟體點名提醒過的被加了料的小馬啟用工具（作者系第三方駭客疑似和原小馬團隊存在灰色利益鏈，在原小馬純淨啟用工具上加料，該工具目前還是被某搜尋引擎強力推送在第一頁，不用明說大家都懂，下工具的人請小心甄別。具體可以看這篇文章：

http：//www。

360doc。com/content/16/0

625/09/34252017_570570724。shtml

）因為這個映象和本機屬於NAT連線狀態，所以我心中暗叫不妙。雖然在虛擬機器中很快就重灌了系統，但是等我切回本地物理機並且重啟過電腦之後開啟瀏覽器——

哦豁~我的4個瀏覽器有2個都被劫持了。並且還被裝上了幾個亂七八糟的軟體。谷歌瀏覽器和IE慘遭施暴並且不止被一個網址劫持。搜狗和115瀏覽器大概是因為自身有一定的防禦措施所以沒事。雖然360也對修改主頁的行為監測到了並且進行了攔截但是我心裡很清楚這沒卵用。因為它只能簡單的對單次行為進行攔截。而這個病毒其實是給我的系統以多重保險的形式種下了罪惡的種子，治標不治本是沒任何意義的。我心裡很清楚一場惡戰又要開始了。

首先，我搜索計算機並且依次查看了中招的兩個瀏覽器的所有快捷方式，包括隱藏資料夾內的。（預先要先設定顯示隱藏資料夾）然後右鍵屬性後檢視例如C：\Program Files （x86）\Internet Explorer“這一行，

後面被添加了

https：//

xxx2345。com

之類的網址。這是最原始的第一重手法。刪掉的話，瀏覽器的劫持就暫時會解除。但是這沒什麼用，因為給它新增這個命令的指令碼只要還存在，它就會無限次週期性生成。以前的我對此是毫無辦法的，但是4年過去了，我的電腦知識經驗儲備早已今非昔比。所以現在我知道這多半是利用了VBS指令碼功能。於是開啟一款叫做WMITools的工具（網上隨便搜搜就有，安裝好後需要到安裝目錄右鍵以管理員許可權開啟WMI Event Viewer。exe）點選左上角的鋼筆圖示輸入root\CIMV2 展開自己使用者名稱的目錄後在左側可以看到當前系統內載入的VBS指令碼，如果電腦中有其他V BS指令碼的需要自己去進一步展開然後找到最近的陌生指令碼並且刪除。但是絕大多數使用者電腦裡是沒有其他VBS指令碼的，因此直接如圖示刪除展開後出來的這個指令碼即可。

刪除它了之後，再刪掉已經被修改過的所有瀏覽器快捷方式並且重新建立新的快捷方式。這道劫持手段就被廢除了。

然而，我的瀏覽器依然在被劫持。正如我所預料的那樣，經過了這幾年的進化，這些病毒的作者們也在根據不斷搜尋網友們的解毒方法之後再挖空心思，另闢蹊徑，以多重保險的方式升級它們。所以我得繼續尋找它給我下的第二道毒。

這裡推薦一下普明公司的PCHunter和 個人作者ithurricane的PowerTool

這兩款國產軟體，都是屬於核心級的手動防毒工具。（都是免費的，但是如果你覺得好用的話可以自願打賞作者）比起360等比較常見的自動防毒軟體來說，使用它們有一定的電腦知識門檻。兩款軟體的使用說明文本里也都有免責宣告。不具備一定電腦知識的使用者不要輕易使用它們。但是如果真的和我一樣電腦不方便輕易重灌系統的人，我建議花一點時間去學習一下如何正確使用它們。是值得的。

需要注意的是，這兩款軟體第一次使用需要載入一些系統驅動外掛（。SYS）而這些外掛因為是出自個人之手所以沒有數字簽名。要載入成功需要重啟電腦時按F8選擇以禁用載入數字簽名方式啟動，然後才能順利載入。此外為了徹底防毒，最好是進入斷網的安全模式操作。以防範病毒透過聯網自我複製，陰魂不散，借屍還魂。這裡我選擇PCHunter，開啟它後點擊核心鉤子選項，然後在下面一排檢查，凡是原始值和當前值不符合並且被自動標註了異色（藍色或者紅色）的，都右鍵選擇“恢復”或者“修復”。

然後重新整理。結果重新整理之後，我發現其中有一個值依然會被改回異常值。心裡有數了，右鍵點選 “定位到模組”開啟C：\Windows\System32\drivers資料夾。如圖所示

定位到的這個檔案，非常可疑。但是因為這個系統目錄裡有很多重要的驅動外掛，如果刪除錯了，是可能會導致系統崩潰的。因此一定要再三確認，我做了幾個步驟來進一步確認它是病毒本體，首先回憶一下我中招的時間，然後把該目錄下檔案按照修改日期排列，可以看到它排在靠前幾個位置。而最新的那個檔案應該是360防毒軟體生成的。日期是當天。因此它嫌疑進一步提高。第二步，複製該驅動外掛的名稱，上網搜尋一下並無相關資訊。因此判斷極可能是之前被我刪除的指令碼自動隨機命名生成的。第三步，將該檔案單獨複製到其他目錄比如桌面然後點選一下再用360或者其他防毒軟體查殺（因為SYS檔案在系統目錄內可能會因為組策略被保護，並且無觸發狀態並無病毒特徵所以不會被掃描出來）。

果不其然，被我複製到桌面並且單擊之後再用360查殺報毒。如下圖所示

順便大家可以看看這個玩意居然還有數字簽名，查了一下該公司是一家IT公司。真是個良心企業，呵呵噠。

要想直接刪除這個檔案需要在安全模式以管理員許可權才可以操作。所以最好的辦法是直接在System32用360再查殺一次或者直接用粉碎功能強制刪除它。

刪除之後不要忘記再次開啟PCHunter，把被它不斷改寫的鉤子值給修復回初始值。然後再順手把病毒之前給我裝的幾個垃圾軟體也解除安裝了。

做到這一步之後，先不要連線網路。因為按照流氓軟體的尿性還有最後一步需要我們去收拾——沒錯就是登錄檔。點選左下角開始選單鍵，執行“regedit”注意需要右鍵以管理員方式執行。

然後搜尋被劫持主頁的網址關鍵字，因為這次我中的這個病毒是個全家桶，所以它劫持我的主頁有3個網址（XX2345，XXX123，XX4046）分別搜尋這些關鍵字的項，值，然後全部刪除（這一步必須是斷網狀態且確認了病毒和指令碼都被清除乾淨後再做，否則是無用功）此外需要注意的是，要看清楚搜出來的東西，系統自帶的一些包含同名數字的值不要誤刪了，仔細看看前後關聯的登錄檔專案很好區分的。

全部刪除完畢之後，再次開啟我的幾個瀏覽器，發現被劫持的首頁又恢復正常了。

重啟之後也沒有發現有死灰復燃的情況發生。最終，4年之後第二次我與流氓軟體全家桶的這場戰役以我的勝利收場。但說實話並沒有覺得有太多的喜悅之情。我就不多說什麼資本的魔爪愈發肆無忌憚之類的吐槽了-_ -。只能悲嘆一聲嗚呼，深夜列此文於網上，望能聊以助人。脫其困擾。 2020。7。26 by-conankid