道法自然

率性、自我、随心...
posts - 61, comments - 82, trackbacks - 0, articles - 2
  教师博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

完美卸载流氓“划词搜索”

Posted on 2006-06-04 13:54 周泉 阅读(6292) 评论(8)  编辑 收藏 引用 网摘 所属分类: 技术文章
今天一天电脑,发现有些不对劲,比原来慢了许多,进入系统后有广告窗口自动跳出...一定是妹妹装软件时把流氓软件也装了了。
  用“
SecAnalyst(电脑安全分析专家) ”扫描一下,恐怖.......

  screenshot1.jpg
  

#T0 SecAnalyst 分析报告 版本:0, 3, 4, 8
#操作系统 : Microsoft Windows XP Professional Service Pack 2 (Build 2600) (CHS)
#系统目录 : C:\WINDOWS\system32
#浏览器   : Internet Explorer 6.0.2900.2180
#生成时间 : 2006-6-4 7:29:13

#T2 请把报告贴到安全救援中心bbs.s-sos.net,我们的专家会为你做出诊断,另外,报告中的安全风险值仅仅表示可疑程度。
#Q1 (请在此输入你的电脑遇到的问题和异常情况..)


#O4  危险     自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\res]-c:\windows\system32\res.exe
#O4  危险     自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\ Update]-c:\program files\common files\updat\update.exe
#O4  危险     自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\ mz7dlblz]-rundll32 "c:\windows\downlo~1\mz7dlblz.dll",run
#O4  警告     自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\ service]-c:\docume~1\sueki\locals~1\temp\serviceo.exe
#O4  警告     自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\ CdnCtr]-"c:\program files\searchnet\serveup.exe"
#O4  警告     自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\ SearchNet_Up]-"c:\program files\searchnet\serveup.exe"
#O4  低风险   自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\ spoolsv]-c:\windows\system32\spoolsv\spoolsv.exe -printer
#O4  低风险   自启动:[hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved\WinRAR shell extension]-c:\program files\winrar\rarext.dll
#O4  低风险   自启动:[hkey_local_machine\software\microsoft\windows\currentversion\ shellserviceobjectdelayload\Vision]-c:\progra~1\mmsass~1\mmsass~1.dll [file not found]
#O4  低风险   自启动:[hkey_local_machine\software\microsoft\windows\currentversion\run\ MoveSearch]-c:\program files\huaci\huaci\zsearch.exe


#D0  低风险   驱动: C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys
#D0  低风险   驱动: C:\WINDOWS\system32\drivers\vmnetuserif.sys
#D0  低风险   驱动: C:\WINDOWS\system32\Drivers\vmx86.sys
#D0  低风险   驱动: C:\WINDOWS\system32\Drivers\VMparport.sys
#D0  低风险   驱动: C:\WINDOWS\System32\Drivers\SENTINEL.SYS
#D0  低风险   驱动: C:\WINDOWS\system32\Drivers\hcmon.sys
#D0  低风险   驱动: C:\WINDOWS\System32\drivers\klif.sys
#D0  低风险   驱动: C:\WINDOWS\System32\drivers\klmc.sys
#D0  低风险   驱动: C:\WINDOWS\system32\drivers\f44n6o.sys
#D0  低风险   驱动: C:\WINDOWS\system32\drivers\Anfad.sys
#D0  低风险   驱动: C:\WINDOWS\system32\drivers\abhcop.sys
#D0  低风险   驱动: C:\WINDOWS\system32\drivers\FAD.sys
#D0  低风险   驱动: C:\WINDOWS\System32\Drivers\usbVM31b.sys
#D0  低风险   驱动: C:\WINDOWS\system32\DRIVERS\hcalway.sys
#D0  低风险   驱动: c:\windows\system32\          

#R0  警告     Homepage: http://www.google.com/ - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page


#O2  危险     BH {3CE496D1-1746-41CD-9489-3C0B93DF10E2} - C:\WINDOWS\Downlo~1\kz04.dll
#O2  危险     BH {2A0176FE-008B-4706-90F5-BBA532A49731} - C:\Program Files\SearchNet\SNHpr.dll
#O2  警告     BH {5673A7C0-95CC-4646-BB07-3BD71234CEF9} - C:\WINDOWS\system32\MicrosoftNet.dll
#O2  警告     BH {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
#O2  警告     BH {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_001.dll
#O2  低风险   BH {D1BB7CF4-4463-4e91-88D7-ECC3CE0A13B7} - C:\Program Files\CoolWebsite\QuickLink.dll
#O2  低风险   BH {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\PROGRA~1\KuGoo3\KUGOO3~1.OCX
#O2  低风险   BH {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\Program Files\DeskAdTop\deskipn.dll
#O2  低风险   BH {3AF40CB8-B3BA-4E2D-8968-4BF8DB172997} - C:\Program Files\CaiShow Tech\CaiShow\BrowerHelper.dll

#M0  危险     DLL: C:\WINDOWS\Downlo~1\mz7dlblz.dll
#M0  危险     DLL: c:\windows\system32\spted.dll
#M0  警告     DLL: C:\WINDOWS\system32\MicrosoftNet.dll
#M0  警告     DLL: C:\WINDOWS\system32\msicn\plugins\lup.dll
#M0  警告     DLL: C:\WINDOWS\system32\msicn\plugins\bm.dll
#M0  警告     DLL: C:\Program Files\SearchNet\SrvNet32.dll
#M0  警告     DLL: C:\WINDOWS\system32\msicn\msibm.dll
#M0  警告     DLL: C:\Program Files\DeskAdTop\fshook.dll
#M0  警告     DLL: C:\WINDOWS\system32\msicn\plugins\as.dll
#M0  警告     DLL: C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_001.dll
#M0  警告     DLL: C:\WINDOWS\system32\UxTheme.dll
#M0  低风险   DLL: C:\Program Files\CoolWebsite\QuickLink.dll
#M0  低风险   DLL: C:\Program Files\MSN Messenger\MSVCR71.dll
#M0  低风险   DLL: C:\WINDOWS\system32\msicn\plugins\bse.dll
#M0  低风险   DLL: C:\Program Files\HuaCi\huaci\Mouse1.dll

#P0  危险     进程:d:\program files\安全相关\hijackthis_1991_ie安全扫描\hijackthis.exe
#P0  警告     进程:c:\windows\system32\servehost.exe
#P0  低风险   进程:c:\program files\searchnet\searchnet.exe
#P0  低风险   进程:c:\program files\huaci\huaci\zsearch.exe

#HP0 危险     隐藏进程: C:\WINDOWS\system32\res.exe
#HP0 危险     隐藏进程: C:\Program Files\Common Files\UPDAT\Update.exe

#S0  危险     NT 服务: SmallCenter - ServiceDll - C:\WINDOWS\system32\spted.dll
#S0  警告     NT 服务: Remote Log - 启动方式: 自动 - 当前状态: 已启动 - system32\ServeHost.exe
#S0  警告     NT 服务: Adobe LM Service - 启动方式: 手动 - 当前状态: 已停止 - "C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"
#S0  低风险   NT 服务: kavsvc - 启动方式: 自动 - 当前状态: 已启动 - "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"
#S0  低风险   NT 服务: HidServ - ServiceDll - C:\WINDOWS\System32\hidserv.dll - [file not found]
#S0  低风险   NT 服务: StdService - 启动方式: 自动 - 当前状态: 已停止 -  - [file not found]


#O18 警告     Protocol: ic32pp - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - C:\WINDOWS\wc98pp.dll


您的电脑整体安全风险为高(213分),可能已经被破坏,请尽快处理!



  装了一堆的垃圾广告软件!

  老实说,虽然我一向小心,极少中广告软件。但经常帮别人清理广告软件,对付它们还是比较有经验的。通常用
HijackThis 扫描一下,把可疑的项修复就OK了。

  screenshot2.jpg

  但今天我竟然发现,有几项无法恢复,查了一下,那几项都是“划词搜索”的文件。于是想手动把它直接删了,因为试过划词提供的卸载也没有用。但竟发现文件无法被删除,一般情况下不能删除,在安全模式下不能删除,在命令行的命案模式下都不能删除!就算把文件夹的权限加上我自己的帐号(本来已经是 Administrators)设为完全控制也无法删除。超流氓啊,比3721强下流10倍!

  在网上搜索,下载了一个叫U
nLocker 的免费软件,超好用原来“C:\program files\HuaCi\huaci”文件夹里一个文件都无法删除,用右键一点,选UnLocker,再删除,一下子就把整个文件夹Delete了,爽!
  
  screenshot3.jpg
  
  
  准备用“
恶意软件清理助手 ”打扫一下战场(清理注册表项),竟然发现那该死的划词还有残留没有被删除。screenshot4.jpg

查找了一下,它竟然把文件写进硬件驱动文件夹了(C:\WINDOWS\system32\drivers)了,一个叫
abhcop.sys,另一个叫hcalway.sys!这两个文件用Unlocker也删除不了,手动更没有办法。

  再次在网上搜索,还好,在http://bbs.cnns.net/viewthread.php?tid=2900&fpage=1&highlight=%BB%AE%B4%CA找到了解决的办法。
  
  


  首先打开C盘windows系统目录下的system32目录 然后在此目录下备份drivers文件夹,将此文件夹重命名为drivers1
  接着请在drivers1文件夹内删除abhcop.sys和hcalway.sys。

  重启电脑,按住F8进入“带命令行的安全模式”
  在dos环境下进行下列操作:
  cd.. (此命令意思是退回上级目录)
  退到C盘目录下后
  cd windows(意思是进入windows目录,2000操作系统请输入winnt).
  cd system32
  ren drivers drivers2 (意思是将drivers文件夹名修改成drivers2 )
  ren drivers1 drivers (将之前我们备份的drivers1文件夹名字改为drivers )

  退出DOS,重启进入WINDOWS.删除drivers2文件夹、并清理注册表内信息。

  



    再用“
恶意软件清理助手 ”打扫一下,终于可以把那下流的“划词搜索”彻底 清除了。

  比较一下分析报告:

  


#T0 SecAnalyst 分析报告 版本:0, 3, 4, 8
#操作系统 : Microsoft Windows XP Professional Service Pack 2 (Build 2600) (CHS)
#系统目录 : C:\WINDOWS\system32
#浏览器   : Internet Explorer 6.0.2900.2180
#生成时间 : 2006-6-4 11:49:6

#T2 请把报告贴到安全救援中心bbs.s-sos.net,我们的专家会为你做出诊断,另外,报告中的安全风险值仅仅表示可疑程度。
#Q1 (请在此输入你的电脑遇到的问题和异常情况..)


#O4  危险     自启动:[hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved\UnlockerShellExtension]-c:\program files\unlocker\unlockercom.dll
#O4  低风险   自启动:[hkey_local_machine\software\microsoft\windows\currentversion\shell extensions\approved\WinRAR shell extension]-c:\program files\winrar\rarext.dll


#D0  低风险   驱动: C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys
#D0  低风险   驱动: C:\WINDOWS\system32\drivers\vmnetuserif.sys
#D0  低风险   驱动: C:\WINDOWS\system32\Drivers\vmx86.sys
#D0  低风险   驱动: C:\WINDOWS\system32\Drivers\VMparport.sys
#D0  低风险   驱动: C:\WINDOWS\System32\Drivers\SENTINEL.SYS
#D0  低风险   驱动: C:\WINDOWS\system32\Drivers\hcmon.sys
#D0  低风险   驱动: C:\WINDOWS\system32\DRIVERS\vmnetbridge.sys
#D0  低风险   驱动: C:\WINDOWS\System32\drivers\klif.sys
#D0  低风险   驱动: C:\WINDOWS\System32\drivers\klmc.sys
#D0  低风险   驱动: C:\WINDOWS\System32\Drivers\usbVM31b.sys
#D0  低风险   驱动: C:\WINDOWS\system32\drivers\f44n6o.sys
#D0  低风险   驱动: c:\windows\system32\          

#R0  警告     Homepage: http://www.google.com/ - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page


#M0  警告     DLL: C:\WINDOWS\system32\UxTheme.dll
#M0  低风险   DLL: C:\Program Files\MSN Messenger\MSVCR71.dll


#S0  警告     NT 服务: Adobe LM Service - 启动方式: 手动 - 当前状态: 已停止 - "C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"
#S0  低风险   NT 服务: kavsvc - 启动方式: 自动 - 当前状态: 已启动 - "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"
#S0  低风险   NT 服务: HidServ - ServiceDll - C:\WINDOWS\System32\hidserv.dll - [file not found]

#O1  低风险   Hosts: 127.0.0.1 zhongsou.com




您的电脑整体安全风险为低(19分),有空的话,请进行安全优化处理!




虽然没有达到未中招前的状态(好像是9分,记不清楚),但总算什么东东碍眼了。

Feedback

# re: 完美卸载流氓“划词搜索”  回复  更多评论   

2006-06-14 10:59 by 彤儿
:) 有个简单的方法,用超级兔子,一下子全部杀光,爽~

# re: 完美卸载流氓“划词搜索”  回复  更多评论   

2006-06-20 13:46 by gg
试过了,还是不行。

# re: 完美卸载流氓“划词搜索”  回复  更多评论   

2006-07-03 10:54 by glr
如果你的系统上有两个os,在另一个os启动,然后删除huaci目录下的所有文件

# 谢谢您啦  回复  更多评论   

2006-07-12 21:46 by DS
划词搜索已经进化了,我也中招了。到网上一搜,竟然好多都是怎么删掉划词的文章,相反没看到下载划词的网页,可见这个软件真是不好

# re: 完美卸载流氓“划词搜索”  回复  更多评论   

2006-07-12 21:48 by DS
软件的作者想尽办法让它的软件的尸体在我们的电脑中存留,但是更多的人BS这种软件!!!恨死流氓软件了,都删光!!

# re: 完美卸载流氓“划词搜索”  回复  更多评论   

2006-07-19 17:31 by 同窗
感谢楼主!
整理的很全面让我了解乐不少有用软件!

# re: 完美卸载流氓“划词搜索”  回复  更多评论   

2006-07-28 18:26 by 达到
我也中招了,什么方法都试过了,现在升级了,不管用了。暂时不去烦它,好在对我的影响不大

# re: 完美卸载流氓“划词搜索”[未登录]  回复  更多评论   

2007-05-05 08:38 by tom
我的电脑就在c盘和d盘各装了一个xp,我用另一个启动进入,还是删不掉c盘那个系统下的huaci文件夹。

只有注册用户登录后才能发表评论。