惡意插件務(wù)必清除,介紹幾種手工清除方法

-.z.20種惡意插件手工去除方法如今，惡意軟件及插件已經(jīng)成為一種新的網(wǎng)絡(luò)問題，惡意插件及軟件的整體表現(xiàn)為去除困難，強制安裝，甚至干攏平安軟件的運行。下面的文章中就給大家講一部份惡意插件的手工去除方法，惡意插件實在太多，無法做到一一講解，希望下面的這些方法能為中了惡意插件的網(wǎng)友提供一定的幫助。1、惡意插件Safobj相關(guān)介紹：

捆綁安裝,系統(tǒng)速度變慢,沒有卸載項/無法卸載,強制安裝,干擾其它軟件正常運行,

去除方法：

重新注冊IE項，修復(fù)IE注冊。從開場->運行

輸入命令regsvr32act*pr*y.dll確定

輸入命令regsvr32shdocvw.dll確定

重新啟動，下載反間諜專家查有沒有ADWARE，spyware，木馬等并用其IE修復(fù)功能修復(fù)IE和注冊表，用流氓軟件殺手或微軟惡意軟件去除工具去除一些難卸載的插件。

到down.45it.下載KillBo*.e*e。在C:\ProgramFiles\InternetE*plorer\目錄下，把LIB目錄或Supdate.log刪除。

跳窗網(wǎng)頁可能保存在HOSTS，一經(jīng)上網(wǎng)就先觸發(fā)該網(wǎng)址為默認，就會自動翻開，檢查HOSTS：

用記事本在C:\WINDOWS\system32\drivers\etc\目錄下翻開HOSTS

在里面檢查有沒有網(wǎng)址，有則刪除。

或在前面加

127.0.0.1

保存后屏蔽掉。

如果是彈出的信使：

從開場->運行，輸入命令：

netstopmsg

netstopalert

即終止信使效勞。2、惡意插件MMSAssist相關(guān)介紹：

這其實是一款非常簡便易用的彩信發(fā)送工具，但它卻屬于流氓軟件!并采用了類似于木馬的Hook(鉤子)技術(shù)，常規(guī)的方法也很難刪除它，而且很占用系統(tǒng)的資源。

去除方法：

方法一：它安裝目錄里第一個文件夾有個.ini文件，它自動從update.borlander./updmms/mmsass.cab下載插件包，包里有albus.dll文件，UP*0.80-1.24的殼，脫掉用16位進制軟件翻開發(fā)現(xiàn)這個垃圾插件利用HOOK技術(shù)插入到e*plorer和ie*plore中，開機就在后臺自動運行。

平安模式下，右鍵點擊我的電腦-管理-效勞-禁用jmediaservice效勞，刪除C:\windows\system32下的Albus.DAT，刪除C:\WINDOWS\SYSTEM32\DRIVERS下的Albus.SYS，刪除彩信通的安裝文件夾，開場-運行-regedit-查找所有MMSAssist并刪除，如果怕注冊表還有彩信通的垃圾存在，下載個超級兔子掃描下注冊表再一一刪除，你也可以試試超級兔子的超級卸載功能。

要阻止它再次安裝，也很簡單。徹底刪除它之后，你在它原來的位置新建一個與它同名的文件夾，然后將這個文件夾的權(quán)限設(shè)置為連系統(tǒng)管理員都是"只讀〞，取消"寫入〞和"運行〞的權(quán)限。這樣它就再也裝不進我們的系統(tǒng)了。

方法二：用冰刃IceSwordv1.18顯示這些文件：c:\programfiles\mmsassist文件夾、windows\system32\albus.dat、windows\system32\drivers\Albus.SYS，把mmsassist文件夾及其子文件夾中的文件一一刪除，把albus.dat、albus.sys刪除。再到c:\programfiles下面看一下，mmsassist里又回來的兩個文件，不過不要緊*，刪除mmsassist文件夾，刷新，文件夾已經(jīng)不見了。如果還不放心，可以進入regedit，搜索mmsassist，把帶有mmsassist相關(guān)字樣的鍵值一一去除!3、惡意插件popnts.dll相關(guān)介紹：

求助SREng日志整理出來的，主要表現(xiàn)是彈出廣告，在收到后，發(fā)現(xiàn)這個東東跟前段時間整理的流氓軟件0848\baisoa幾乎一致，看來也只是一個毫無新意的升級版

病毒文件及文件夾

%windir%\winamps.e*e

%windir%\realupdate.e*e

%windir%\POPNTS.DLL

%windir%\Sotify.dll

%system%\{pchome}\.setupf\

添加注冊表啟動項

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

updatereal%windir%\realupdate.e*eother

winsamps%windir%\winamps.e*e

冒充微軟信息的啟動項

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify]

ScCardLogn%windir%\Sotify.dll

添加一個BHO

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]

[HKEY_CLASSES_ROOT\CLSID]

{DE7C3CF0-4B15-11D1-ABED-709549C10000}%windir%\POPNTS.DLL

去除方法：

1、停頓winamps.e*e、realupdate.e*eviruspe.的進程

2、刪除添加的所有注冊表信息

3、重啟后刪除、或者使用Unlocker刪除所有的病毒文件

PS：

1、由于病毒變種，可能實際情況與本文描述不同，但去除方法是一定的本內(nèi)容來源于電腦硬件

2、由于其具備download馬特征，除此之外，可能伴隨著其他病毒或流氓軟件。4、惡意插件WBForm相關(guān)介紹：

這個程序其實是一個IE的惡意插件，應(yīng)該屬于Spyware/Adware之類的軟件，會隨著IE一起啟動，而且有時會彈出廣告窗口。

去除方法：

為了徹底刪除它，重新啟動電腦后不要運行IE，直接刪除Windows目錄下的adstate.dat和WindowsSystem32目錄下的mewin.dll文件(如果無法刪除請重新啟動進入平安模式再刪)。然后，運行注冊表編輯器(Regedit)，搜索并刪除包含如下關(guān)鍵字的所有鍵值即可：3D898C55-74CC-4B7C-B5F1-45913F368388。5、惡意插件ACTIVE*去除方法：

1、翻開IE，進入"工具-internet選項"窗口，在"常規(guī)"選項上單擊"設(shè)置"按鈕彈出"設(shè)置"對話框，單擊"查看對象"可查看目前機器上已經(jīng)安裝的一些ACTIVE*控件。

2、可以在"查看對象"窗口中直接刪除控件，不過這樣刪除只能暫時去除騷擾，要想徹底屏蔽還需要了解它的SLSID值，找到惡意ACTIVE*插件，查看屬性，在常規(guī)選項卡上ID后面的就是SLSID了。

3、新建一個REG腳本，內(nèi)容如下：

[hkey_local_machine\software\microsoft\internete*plorer\active*patibility\{*}](*就是在得到的SLSID)

"patibilityflags"=dword:00000400

保存后導(dǎo)入注冊表。6、"天下搜索〞相關(guān)介紹：

一開場從添加刪除里面想刪除這個插件，一下子就死機了，baidu上搜索如何卸載，例子有很多，總結(jié)了下，不外乎二種：手工卸載、工具卸載。

去除方法：

一、手工卸載

1，關(guān)閉IE瀏覽器，以免刪除時程序占用而失敗。

2，翻開C:\WINDOWS\DownloadedProgramFiles\，你可以看到有個"天下搜索.oc*〞控件，右鍵屬性，選擇"相關(guān)內(nèi)容〞選項卡，列出了其他相關(guān)文件的路徑和文件名，我這里顯示以下幾個文件：

BARHELP22.0.DLL

IEBAR22.0.DLL

TOLLBAR.BMP

HDTBAR.*ML

IEBAR.INF

以上文件所在目錄都是C:\WINDOWS\DownloadedProgramFiles\

但直接翻開這個目錄卻又看不到上述文件：!

3，開場-程序-附件-命令提示符

彈出dos窗口，輸入以下命令：

cd..回車

cd..回車(退到C盤根目錄)

cdwinnt回車

cdDownloadedProgramFiles回車

你可以看到我們所要刪除的幾個文件

然后用del命令刪除相關(guān)文件

最后回到文件夾C:\WINDOWS\DownloadedProgramFiles\將"天下搜索.oc*〞刪除。

4，翻開regedit,刪除HEKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetE*plorer下的兩個關(guān)于IEtoolbar下的天下搜索鍵值(因為個人不喜歡用任何的搜索條，把兩個關(guān)于toolbar文件夾都刪掉了，記不起這兩個文件夾的名字了，自己慢慢在InternetE*plorer下面找)

5，至此卸載完畢，你可以翻開IE瀏覽器，發(fā)現(xiàn)已經(jīng)沒有"天下搜索〞了!7、偽lsass.e*e相關(guān)介紹：

這是個木馬病毒，生成程序不在C盤里。即使你重裝了系統(tǒng)也還是會存在。

去除方法：

把系統(tǒng)盤放在光驅(qū)里，在調(diào)為用硬盤啟動。重起機子，查找你的桌面上那個圖標花了，也就是和以前的不一樣了，明顯的不一樣的(或者是你中毒的那一天)。查看屬性，生成日期是什么，記下來。然后就是比擬麻煩的了，把你的電腦里除了C盤的所有盤只要是那個日期的全刪了。我的是12.8號的，我就把是12.8號創(chuàng)立的都刪了(即使你記得你的有些文件不是那天創(chuàng)立的，只要是那個日期就刪，因為它已經(jīng)被感染了。)再者，還是刪系統(tǒng)文件C盤除外。

把你的網(wǎng)線拔了，重起機子。記得是從硬盤啟動!把你機子上原有的殺毒軟件刪了，裝前面你下載的那個。掃描一遍你的電腦，有可疑的全刪。不能刪的用冰刀強行刪除。還要再刪一遍系統(tǒng)文件還是出盤以外的。觀察你的10分鐘c:WINDOWS\system32\里面還有沒有l(wèi)sass.e*e和smss.e*e"

重起，調(diào)為正常啟動(不用從硬盤啟動)可以了，我的殺毒過程就是這樣，中間可能有些步驟是不必要的。但我也說不好所以就把解決的過程寫下來了，希望對大家有用。

記得機子搞好后用瑞星掃描下有沒有漏洞，有的話就趕快修復(fù)。還有360也會查找你的系統(tǒng)有沒有漏洞。8、偽realshed惡意程序相關(guān)介紹：

廣告軟件。未經(jīng)用戶允許，下載并安裝在用戶電腦上;無法徹底卸載;在后臺收集用戶信息牟利，危及用戶隱私;頻繁彈出廣告，消耗系統(tǒng)資源，使其運行變慢等。

去除方法：

1CTRL+ALT+DEL,完畢REALSHED進程

2翻開REAPLAYER,在設(shè)置內(nèi)終止它的自動更新和消息中心的相關(guān)功能,具體自己摸索下了,我這里沒裝這個大塊頭的播放軟件

3卸載REAPLAYER,并在相應(yīng)目錄刪除它的文件夾,將它徹底消滅

如果只是普通的病毒,這樣做應(yīng)該可以搞定了,還不行的話,你在搜索內(nèi)搜索realshed,注意翻開搜索隱藏文件,或者在CMD窗口下執(zhí)行DIRREALSHED*.*/A/S,找到這個垃圾的藏身之處

剩下的就是用360的刪除工具把這個垃圾分尸了

另外無論你怎么操作,都記得要檢查下注冊表,搜索下realshed這幾個字符,把相關(guān)項給刪除了

如果這樣還不行,那你可能要使用DRIVERVIEW,檢查下你加載的驅(qū)動,把可疑的加載給刪除掉

另外分析報告中以下幾個很可疑,你可以直接把他們清理了

O41-wgaalmvm-wgaalmvm-C:\WINDOWS\system32\drivers\wgaalmvm.sys-(running)---e67f70a9、SpyCrush相關(guān)介紹：

安裝在"我的電腦〞的C:\ProgramFiles目錄下，名叫VideoActive*Access，會把IE主頁全改為protectstand./，不會影響上網(wǎng)。!

去除方法：

1、開機進入平安模式(開機的時候一直不停的按F8鍵)。

2、啟動SmitFraudFi*(就是上面讓下載的那款軟件)。

3、按2，然后enter

4、它會問你是不是要去除Registry,按Y。

重新啟動電腦，OK，清理SpyCrush完畢10、zh130.彈出窗口相關(guān)介紹：

強制安裝、無法徹底刪除、彈出廣告

去除方法：

殺毒前關(guān)閉系統(tǒng)復(fù)原：右鍵我的電腦，屬性，系統(tǒng)復(fù)原，在所有驅(qū)動器上關(guān)閉系統(tǒng)復(fù)原打勾即可。

去除IE的臨時文件：翻開IE點工具-->Internet選項:Internet臨時文件，點"刪除文件〞按鈕，將刪除所有脫機內(nèi)容打勾，點確定刪除。

2啟動工程-->注冊表的如下項

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\E*plorer\ShellE*ecuteHooks]

<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><>[N/A]

<{25E1EECB-E580-4032-97A2-A456D33820D1}>[N/A]

啟動工程-->效勞-->Win32效勞應(yīng)用程序的如下項

[VoolumeShadowCopyre2/ServiceCopyre9]

<>

啟動工程-->效勞-->驅(qū)動程序(如果刪不掉，就設(shè)置類型為disabled!)

[MSJDrvr/MSJDrvr]

3WINDOWS清理助手清理清理

相關(guān)介紹：

DuDu下載加速器是由領(lǐng)先的P2P技術(shù)公司千橡互聯(lián)開發(fā)的一款基于P2P技術(shù)的極速下載軟件。

去除方法：

第一次安裝dudu后，在C:ProgramFiles下生成HDP文件夾;在進程里表現(xiàn)出來的是MSHTA.e*e和henbang.e*e，分別對應(yīng)的運行窗口和駐留在任務(wù)欄上的henbang，啟動項里會添加"很棒小秘書〞(手動安裝時會提示)。卸載它，先在"添加/刪除程序〞里，發(fā)現(xiàn)有HAP和很棒小秘書，直接執(zhí)行卸載。

注意的是，先執(zhí)行卸載"HAP〞，然后再執(zhí)行卸載"很棒小秘書〞。否則，C:ProgramFilesHDP依然存在，且程序完整，執(zhí)行的刪除沒有完成。最后檢查，往system32里寫入的三個文件(二個ini文件，一個hbhap.dll文件)，也成功刪除。

所以，如果大家電腦里有這個軟件且一時無法卸載的或提示pupw.sys錯誤的，可主動安裝一次，然后按上面方法執(zhí)行卸載。

另檢查一下是否有C:ProgramFilesHBClient，如果有，說明系統(tǒng)里還裝有裝上很棒通行證，可在添加刪除里執(zhí)行卸載HenbangPassport。12、"很棒小秘書〞卸載方法相關(guān)介紹：

很棒小秘書是很棒公司的代表軟件,它是一個多功能的桌面信息和桌面商務(wù)平臺。安裝之后，不管使用任何一種搜索引擎，屏幕下方都會彈出與搜索關(guān)鍵詞關(guān)聯(lián)的廣告，而且無論如何也無法徹底刪除。

去除方法：

雙擊"c:windowssystem32"下的uninstall.e*e或者henbangkiller.e*e即可，

然后刪除這兩個文件和C:ProgramFileshenbang文件夾。

如果你是*psp2版，可以按照以下方法關(guān)閉它：

1：首先翻開ie，然后選擇"internet選項〞

2：選擇"程序〞頁，點擊"管理加載項〞

3：選中"UrlMonitorClass〞，選擇禁用此項

4：OK了

最好運行msconfig將winup.e*e的加載項去掉13、winup.e*e相關(guān)介紹：

木馬winup.e*e經(jīng)常和"很棒小秘書〞一同出現(xiàn)，所以也要一起去除。

去除方法：

1、在IE的工具里點"管理加載項",禁用DownloadvalueClass,EyeOnIeClass,

URLMonitorClass

2、在system32中運行一下henbangkiller.e*e再刪除winhtp.dllhap.dll

*pieknl.dllwinup.e*e

3、在注冊表中刪除

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的winup鍵

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的updata鍵

在msconfig里面還有一個可疑的東西：msstart.e*e在任務(wù)管理器里干掉msstart的進程,然后再到system32目錄下delete掉msstart.e*e這個文件。14、卸載九魚快車相關(guān)介紹：

九魚快車，彈窗，在瀏覽一些的時候，那些會有一些惡意代碼使你的電腦自動下載IE插件，插件就是這個彈窗廣告了。

去除方法：

1、撥掉網(wǎng)線，重啟電腦，進入平安模式(啟動電腦的時候按F8鍵進入)。

2、在平安模式下，翻開我的電腦，搜索九魚快車的名稱.******.搜索"*〞局部。將搜索出來的文件全部刪除掉。

3、開場-運行，輸入msconfig，在啟動設(shè)置里的勾全部取消。退出而不重啟。

4、進入注冊表(運行里輸入regedit)，在注冊表里搜索(*)局部，將搜索出來的值項全部刪除掉。15、卸載EeyOnIE/4199去除方法：

1、下載本站的費爾強制刪除工具啟動電腦按F8進入平安模式.

2、刪除以下文件.如果刪除不了就用費爾強制刪除工具.

C:\WINDOWS\system32\biuky.dll

C:\WINDOWS\system32\yeheadk.dll這個文件在注冊表里搜索一下4997cd60609f9aac63a4c1204501910e值

C:\WINDOWS\system32\drivers\kanfsfm.sys這個文件在注冊表里搜索一c096dc989756c7d6a57f3fdc9bc3b9cf

C:\WINDOWS\System32\DRIVERS\osrnc.sys

C:\WINDOWS\system32\drivers\yeheadk.sys注冊表53f365b06c3b83af46bf951fbb05ee16、卸載searchsite_pg/3839相關(guān)介紹：

3839在線小游戲的惡意插件

去除方法：

1、建議把這篇文章復(fù)制一下。放到記事本里。然后重新啟動電腦，進入平安模式(開機的時候按F8)。

2、在平安模式下，翻開我的電腦。然后點搜索，在搜索框里輸入host，將搜索到的文件翻開觀察，應(yīng)該其中一個有Host:127.0.0.1localhost#test這些字。這個不要刪了。刪除除了這個文件之外的其他HOST文件。

3、刪除每個盤下目錄PROGRAFILE\3839在線小游戲\3839.dll文件。

4、在注冊表中(開場--運行輸入regedit)搜索276999E8-02F7-4a55-ACFD-1F2E94402671和276999E8-02F7-4a55-ACFD-1F2E94402671還有{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A，將搜索出來的值項全部刪除。這都是searchsite_pg/3839惡意插件的。

5、開場--運行輸入msconfig然后點里面的一個啟動，在里面把有關(guān)3839的內(nèi)容的勾去掉。

6、還是在我的電腦里搜索一下3839.dll，這是為了保險起見。

OK了。重啟下計算機。

17、惡意插件ddoc

相關(guān)介紹:ddoc惡意軟件和插件都殺不掉，"重啟〞和"平安模式〞都無法。表現(xiàn)廣告多。速度慢等。

去除方法：

1、用regworkshop搜索注冊表關(guān)鍵字是"a64e86”,將搜索到的結(jié)果全部用冰刃icesword刪除掉,

2、HKEY_CLASSES_ROOT\clsid

還有在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\E*t\Stats

和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\E*plorer\BrowserHelperObjects

這幾個目錄下的值項全部用以上兩個軟件來刪除.

3、清理ddoc成功,重新啟動后看還有沒有ddoc.

18、UUSEE病毒

相關(guān)介紹：

自動安裝，無卸載程序。