圖1 智能掃描
確定是流氓軟件的作為後,准備將它從系統中清除。雖然流氓軟件和木馬、病毒不一樣,但是運行方式是一樣的,我准備首先找到流氓軟件的啟動項,再一步步地進行清除。
為了增強用戶的識別能力,新版SREng增加了啟動項、服務危險性判斷規則,當發現可疑內容時會以顏色高亮顯示。紅色表示高危項目,藍色表示未知安全狀態項目。筆者首先查看“注冊表”啟動項,SREng會自動讀取Windows系統所有啟動項目的內容,如果發現默認的鍵值被修改成非默認值,那麼會彈出一個警告提示提醒用戶注意,結果沒有任何的可疑項目。
我想伴隨著Windows 2000、XP、2003這些NT內核操作系統的逐漸普及,很多軟件都“與時俱進”改用系統服務進行啟動了,我想流氓軟件也不會例外吧。選擇“啟動項目”中的“服務”標簽,接著點擊“Win32 服務應用程序”按鈕,在彈出的窗口中就可以查看到當前系統服務情況。通過對這些進程的有效管理,能夠對系統進行優化,再選擇“隱藏微軟服務”選項後,程序會自動地屏蔽掉發行者是Microsoft的項目,從這些非微軟的服務中找到可疑之處,可是從中並沒有找到可疑的啟動項。
我知道除了利用系統服務外,個別流氓軟件還使用驅動程序進行啟動,大家看到“驅動程序”這四個字,可不要簡單地和硬件設備聯系到一起,其實很多應用程序在系統的底層都采用了自己編寫的驅動程序,這樣做的好處是不但可以增強程序的穩定性,而且還能更好地保護自己(圖2)。整好SREng後增加了“驅動程序”這個項目,通過認真的檢查,終於發現一處顯示為紅色的驅動程序,名為“Cnmin**.sys”。確定是流氓軟件的驅動後,選擇“刪除服務”選項後,點擊“設置”按鈕就能刪除這個驅動程序。
圖2 驅動程序檢查
阿萌小提示:利用各種修復軟件刪除系統相關文件前一定要備份注冊表文件,避免誤刪造成的系統問題。
