SREng分为启动项目、系统修复、智能扫描、扩展等四大部分。由于不清楚系统运行缓慢的原因,所以首先通过“智能扫描”来给系统做一个“全身检查”。它会对系统进行了一个全方位的扫描,包括启动项、浏览器加载项、正在运行的进程、文件关联等(图1)。当程序扫描完成后,会给出一个和用户系统有关的详细报告。笔者通过检测得知,情况都是由于某些流氓软件造成的。
确定是流氓软件的作为后,准备将它从系统中清除。虽然流氓软件和木马、病毒不一样,但是运行方式是一样的,我准备首先找到流氓软件的启动项,再一步步地进行清除。
为了增强用户的识别能力,新版SREng增加了启动项、服务危险性判断规则,当发现可疑内容时会以颜色高亮显示。红色表示高危项目,蓝色表示未知安全状态项目。笔者首先查看“注册表”启动项,SREng会自动读取Windows系统所有启动项目的内容,如果发现默认的键值被修改成非默认值,那么会弹出一个警告提示提醒用户注意,结果没有任何的可疑项目。
我想伴随着Windows 2000、XP、2003这些NT内核操作系统的逐渐普及,很多软件都“与时俱进”改用系统服务进行启动了,我想流氓软件也不会例外吧。选择“启动项目”中的“服务”标签,接着点击“Win32 服务应用程序”按钮,在弹出的窗口中就可以查看到当前系统服务情况。通过对这些进程的有效管理,能够对系统进行优化,再选择“隐藏微软服务”选项后,程序会自动地屏蔽掉发行者是Microsoft的项目,从这些非微软的服务中找到可疑之处,可是从中并没有找到可疑的启动项。
我知道除了利用系统服务外,个别流氓软件还使用驱动程序进行启动,大家看到“驱动程序”这四个字,可不要简单地和硬件设备联系到一起,其实很多应用程序在系统的底层都采用了自己编写的驱动程序,这样做的好处是不但可以增强程序的稳定性,而且还能更好地保护自己(图2)。整好SREng后增加了“驱动程序”这个项目,通过认真的检查,终于发现一处显示为红色的驱动程序,名为“Cnmin**.sys”。确定是流氓软件的驱动后,选择“删除服务”选项后,点击“设置”按钮就能删除这个驱动程序。
阿萌小提示:利用各种修复软件删除系统相关文件前一定要备份注册表文件,避免误删造成的系统问题。
刚刚只清除了流氓软件的启动项,接下来还有其他的工作需要进行,因为流氓软件更改了很多系统的默认信息。在“文件关联”标签中,SREng检测到.CHM、.HLP两种格式的文件的文件关联被修改(图3),显示了一个错误标示。选中这两项错误关联,点击“修复”按钮就能进行自动恢复。
另外,浏览器加载项是目前大多数“流氓软件”使用的一种自我加载方法,由于浏览器加载项在系统里面进行了注册,手工清除很困难并且容易引起系统的不稳定。现在通过在“浏览器加载项”列表中选择流氓软件的选项,再点击“删除所选内容”按钮将选择的流氓软件清除掉(图4)。除此以外,这个流氓软件还篡改了浏览器默认的首页和或搜索引擎,通过Windows Shell、Internet Explorer等选项中的功能立即就得到了修复。最终将这个该死的流氓软件彻底地从系统中清除掉。