有些可以通过卸载删除,还有另一种干脆卸载程序根本就是个摆设,无论你执行多少遍都不能真正从你的系统中删除!与木马几乎没什么差别,最经典且影响最大的就属3721上网助手(现在已经改叫雅虎助手)了,一般人是很难彻底把它清除掉的。
本人上网这么多年可以说是练就了一对火眼金睛,基本上要想插在我的系统里很难。但俗话说‘常在河边走哪有不湿鞋’,前两天终于不幸中招了。我经常到一些下载站找些asp源码下载来研究,当我打开一个页面的窗口的时候总是弹出一个彩信站,地址为http://www.1860cl.com/123.htm ,起初并没有在意,但后来打开其它网站时,仍然弹出这个地址,打开任何站的新地址都是弹出这个,这才意识到自己中招了。
第一反应是查看系统进程,没发现异常,
然后查看注册表中可自启动程序的几个启动项和系统的启动文件夹,也是未见异常,
然后再查看系统的服务,并没多出不知名的服务,也正常...
查看ie所在的目录,也没多出什么,iexplore.exe 等文件均正常没有被修改...
奇怪了,心想这家伙还挺隐蔽,这一下勾起了我的兴趣
仔细观察发现这个弹出窗口并不是直接打开的这个地址,先是打开http://go.cacb.tv/adshow.aspx?adid=36,然后转到http://www.1860cl.com/123.htm,在google里查了一下发现并没有收录cacb.tv这个域名,再查包含cacb.tv的内容,
看来就是它了,地址电话联系人都有,呵呵,这家公司......
算了,不多说了,还是想办法从电脑里把它请出去吧。
经过细心查找,终于在c:\windows\system32目录下锁定了四个文件:
cacb.dll 128kb
应该就是主程序了,监视鼠标动作打开新窗口应该就是由它来完成的,隐藏的比较好,在进程中看不到;
httpreq.dll 457kb
大概是从服务器端请求要显示的广告地址的,这样就可以由服务器控制弹出窗口的地址了,阴险啊;
webdll.dll 376kb
原应该是ie的函数库shdocvw.dll直接被改名,大概是编写者为了防止用户机器上的ie版本不同而出错
cpap.ini 80字节
只有6行,记录运行参数的吧
好,既然找到了那就动手把它从你的系统中请彻底干掉吧,其实非常的简单
点开始-->运行,输入 regsvr32 /u cacb.dll 回车
然后把这四个文件删除
随便打开几个网站,点内容页的链接,再没出现那个讨厌的弹出窗口!
ok,任务完成,下班回家喽~~~
