我剛來論壇的時候,最開始時我曾發過如何刪除刪除不了的DLL文件的文章,那時被不少網站轉載過,可是我發現有的人在抱怨了,說我的方法不管用了,現在都沒辦法清除掉那些流氓軟件留下來的文件了。呵呵~
實際上,現在對他們不起作用是因為他們即使根本沒被使用也無法被刪除掉。這是因為流氓軟件利用系統驅動模式將文件和對應的注冊表項保護了起來并且進行著實時監控。所以即使文件被用或者不被使用,都不能被刪除掉。而且注冊表中的啟動項
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
也是無法被刪除的,就算你表面上看被刪除了,刷新一下再看?
而且在系統驅動模式的保護下,即使你想創建一個相同名稱的dll文件都是不允許的,例如被系統驅動程序保護的某個DLL文件c:\xx\xx.dll,無論你到哪兒,右鍵新建,你試試新建一個xx.dll文件,是不是不行的?
被加載的偽裝成系統驅動程序的文件存放在c:\windows\system32\drivers下面,這下面文件比較多,找是比較費時一點啦,一般根據創建時間和公司等信息來找會比較有頭緒。有的時候,流氓軟件會無恥到偽裝成MS公司的版本(上次手動清除CNNIC時的發現)
一旦你刪除對應的sys文件后再清除注冊表里
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
里的對應文件名的鍵值后(這里面是包含著系統啟動時要加載的驅動程序和服務)你會發現,就算正常進入系統也可以把那些文件直接DEL掉。
從“開始-程序-所有程序-附件-系統工具-系統信息-軟件環境”這里可以得到非常有用的信息~大家自己打開看看吧
如果在加載的模塊里看不到流氓軟件里所含的模塊而又無法刪除的那么應該就是我上面說那種情況了~~
所以大家在裝好系統和一些必要的軟件后,最好對drivers文件夾下面的文件詳單做一個備份。
開始-運行-CMD
輸入命令 dir /b c:\windows\system32\drivers >>c:\1.txt
這樣你drivers下的所有文件名稱就被備份到了c:\1.txt中。加上/b參數的原因是省略那些詳細的文件信息,方便用fc進行比對。一旦發現有上述情況時,可以用文本比對的方法找出那幾個多出來的sys系統驅動文件。進行排查。這樣問題會比較容易解決一些
應該不會有太多人覺得我說了等于什么都沒說吧,呵呵~
附:暴風影音那兩個sys文件的名字為:abhcop.sys和hcalway.sys(因版本問題可能有變)
既然有人說不懂怎么查找刪除,我索性講得再清楚一點,其實查找的方法有很多種,我在這里所講的只是手工查找的方法,用專門的流氓軟件清理工具的也許要比手工的要快,我在這里只是介紹DIY的方法。
定位到drivers目錄下后,點工具欄上的查看,選擇詳細信息,默認顯示的是名稱,大小,類型,修改日期,當然,這些信息是不夠的,選擇查看,選擇選擇詳細信息,至少把創建日期和公司和版本也勾上,這樣看來就會比較直觀了,點擊上面的大小或日期欄可以排序。
如下圖:
這樣,通過創建日期和公司等信息,你總會發現可疑目標的。當然,也可以跟別人正常機上的來進行比對。
另一種情況是,如果你按我說的對drivers目錄下的文件名稱作了備份的話,那么你可以將現在的diveres目錄下的文件名再一次dir導出到文本,然后利用fc.exe這個WINDOWS自帶的小工具來完成比對~
例如:我事先備份好了文件名稱,為c:\1.txt然后在drivers目錄下新建了一個xxx.sys。然后再次用dir命令導出到c:\2.txt
然后在CMD里輸入命令 fc /w c:\1.txt c:\2.txt>>c:\3.txt
這個命令會把比較的結果輸出到c:\3.txt中去。(加/w參數是為了忽略空格)
這是結果:
正在比較文件 C:\1.txt 和 C:\2.TXT
***** C:\1.txt
***** C:\2.TXT
xxx.sys
*****
怎么樣,是不是很直觀呢?這時你就可以挨個進行排查了。
我再說一遍,這是手工清除的方法,大家盡管可以利用工具來進行清除,畢竟不是誰都有那么多時間耗在這無聊的事上的,大家看看就行了。