浅谈广告/间谍软件和浏览器劫持流氓清理

浅谈广告/间谍软件和浏览器劫持流氓清理（共3篇）

篇1：浅谈广告/间谍软件和浏览器劫持流氓清理

与传统的病毒不同，甚至与较广义的病毒定义（病毒、蠕虫、木马）不完全符合，本文要讨论的这种对您电脑的威胁，尚未被广大反病毒软件普遍承认，但事实是，的确存在这样一些软件，它们搜集您电脑的软硬件配置情况、记录您上网的浏览习惯并将搜集到的信息偷偷传送出去，甚至直接在您的浏览器上做手脚，自动帮您打开一些您没打算去的页面。对，我指的就是间谍软件和浏览器劫持等等恼人的东西。

严格地说，间谍软件spyware和广告程序adware还是有点区别的。广告程序通常指内建在共享软件内的，打开该共享软件的同时到网上下载广告并显示的那种程序。这是共享软件作者获得收入的一种方法，在安装时也会提示，一般通过注册该共享软件可以解除它。而间谍软件可能也以广告程序的面目出现，但它却会偷偷搜集您的信息并发送给特定的目标。

有的时候，间谍软件和广告程序的区别也很模糊，比如有的广告程序在弹出广告窗口的同时也会通过读取它建立在您电脑中的cookies来获得用户的浏览习惯等信息，说它是间谍软件也不过分。当然，也有的间谍软件并不弹出广告，只是悄悄地开后门发送它搜集的信息，甚至有的已经和木马的行为差不多了。在那些将此类程序加入病毒库的杀毒软件中，同一样本，一个杀毒软件报告为广告软件，而另一个杀毒软件报告为木马，这也并不罕见。

恶意程序远不止此，浏览器劫持也是常见的恶意行为。主页、搜索页被改，不请自来的受信任站点，收藏夹里自动反复添加恶意网站，这些的恼人程度甚至不次于真正的病毒。此外，还有恶意拨号器、玩笑程序、 工具……

广告/间谍软件、浏览器劫持、恶意拨号器等等的出现和泛滥莫不与利益驱动有关。间谍软件制作者可以通过将收集到的信息出卖给其它组织来获利，浏览器劫持可以增加特定网页的访问量（意味着广告收入的增加），恶意拨号器则会主动帮拨号用户花掉大量的电话费（这笔钱怎么分就是人家的事啦）……

这些东西是怎么感染电脑的呢？广告/间谍软件可能通过某个“免费”软件安装到您的电脑中，可能是您浏览某个网页时不小心点了某个弹出窗口的“确定”，甚至可能是被直接偷偷安装到电脑上的。恶意拨号器通常是在骗取了您的信任后才被安装到电脑上的。浏览器劫持的过程一般较隐蔽，常常在上网浏览过程中，到过某个网站后，浏览器就开始出现异常了。这也不是截然分开的，有的广告/间谍软件也可能有浏览器劫持的动作。

那么，如何防范呢？一个好的浏览习惯是必要的，

不要轻易相信网站的劝说，在点击任何“确定”按钮前都要三思。遇到可疑的询问是否下载某某软件的弹出界面，最好直接终止浏览器进程（同时按下ctrl+alt+delete，在打开的窗口中选中您所使用的浏览器进程，然后按下“结束任务”或者“结束进程”，最后关闭该窗口。）使用windows update(打开ie――工具――windows update)给系统打上所有关键补丁、安全补丁也是必要的步骤，建议您打上这些补丁。遗憾的是，有的杀毒软件对这类问题反应不够敏感，而普通防火墙对于已得到您允许的软件（那些间谍软件的宿主程序）访问网络也是大开绿灯的。不过，这类程序绝大部分都是以ie为目标的，如果您愿意更换一款非ie内核的浏览器，那么风险会小得多。另外，也有一些防间谍/广告程序的专门工具，比如spybot - search and destroy、ad-aware，当然，还有分析利器hijackthis。

常见的“浏览器绑架”症状可能有以下一些（仅是举例，绝非全部症状）：

*被重定向到恶意网页

*当输入错误的网址时被重定向

*输入字符时ie速度严重减慢

*重启动后ie主页/搜索页被更改

*不请自来的受信任站点

*收藏夹里自动反复添加恶意网站

*在使用google和yahoo等著名搜索引擎搜索时出现某些弹出窗口

*ie 选项卡中出现不能更改或被隐藏的项目

*不能打开 ie 选项卡

……

如果您的浏览器出现这类症状，就提示您可能遭遇了浏览器劫持。当然，您还可以通过一些对付广告/间谍软件、浏览器劫持的专门工具来检测和修复这些问题。清除广告/间谍软件前请注意，如果它们是随同某个免费软件安装的，清除了它们之后，该免费软件很可能无法继续正常使用。

关 键 字：流氓清理

篇2：浅谈广告/间谍软件和浏览器劫持流氓清理

下面我们就来了解一些对付浏览器劫持的方法：

1.编辑hosts文件

hosts文件存在于windows目录下的system32driversetc目录中。如果恶意网页将正常的域名映射到恶意网页的ip地址，则输入正常网址便会连接到恶意程序指定的网页上。

当输入正常的网址却被打开一个不知名的网站，则很有可能是因为hosts文件被修改了。用记事本打开这个文件，手工删除被恶意程序添加的项目并保存文件，就可以正常访问你要浏览的网站了(如果你从未使用过该文件，则直接删除所有内容后保存也可)。

具体方法到这个上去看看

tech.163.com/05/0516/13/1jskhgtb00091589.html

2.修改注册表项目

ie浏览器的主页地址、浏览器标题、默认搜索页地址等信息都是记录在系统注册表当中的，恶意程序通过对注册表的修改就可以控制这些项目的内容。

我们可以使用各大杀毒软件附带的注册表修复工具对注册表进行修复。

3.通过浏览器加载项方式及木马进行劫持：

一些恶意程序作为ie加载项(plugins)的方式启动自己，每次ie浏览器后都会自动运行恶意程序，

通常恶意程序用来定时弹出广告，在ie的右键菜单中添加恶意网站链接以及动态修改注册表等。另外木马方式运行的浏览器劫持程序，目的与浏览器加载项方式类似，只是自启动方式不同。这种木马方式的劫持程序运行更隐蔽，清除更复杂，可以自动更新程序，并且可能同时具备上面的几种劫持方式。

对于这2种浏览器劫持方式处理起来比较麻烦，这里推荐一个小软件--ie清道夫upiea

使用方法:news.onlinedown.net/info/9986-1.htm

下载：download.enet.com.cn/html/01361112401.html

4.对于单一的弹出网站(网页)，你可以试试下面的方法：

找到(复制)它的地址。

然后在ie里通过：工具--internet选项--安全，点击“请为不同区域的web内容指定安全设置”下的“受限站点”，然后点击下面的“站点”按钮，然后在“将该网站添加到区域”中将这个网站复制进去，点击“确定”即可。

篇3：浅谈广告/间谍软件和浏览器劫持流氓清理

由于二者具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，在windows我还没找到清除办法，我借助erd来清除。下面就进行详细描述。

使用erd启动系统，进入系统后：

1、删除c:programfileshuaci目录

2、删除c:programfilessearchnet目录

3、删除c:windowssystem32下的servehost.exe(有时候会变为servehost(1)或servehost(2).exe)

4、删除c:windowssystem32drivers下的fad.sys,anfad.sys,hprocess.sys(最后一个文件有时候没有)

5、在开始〉〉运行中输入regedit运行注册表编辑器，删除注册表中所有有关servehost.exe、zsearch.exe、serveup.exe、searchnet.exe的相关注册项;删除注册表中所有有关huaci的相关注册项;删除hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun[searchnet_up]“c:programfilessearchnetserveup.exe”;删除hkey_local_machinesystemcurrentcontrolsetservices里的fad，anfad，hprocess(有时候没有)，remotelog这几项

6、退出注册表编辑器，退出erd，重新启动机器进入安全模式

7、在安全模式下运行msconfig去掉remotelogc:windowssystem32servehost.exe服务

8、重新启动机器，正常使用，清除完了

以上希望给大家帮助