HOOK

    中文意思就是“鉤子”的意思。這種函數(shù)是Windows消息處理機制的一部分，通過設(shè)置“鉤子”，應(yīng)用程序可以在系統(tǒng)級對所有消息、事件進行過濾，訪問在正常情況下無法訪問的消息。當然，這么做也是需要付出一定的代價的。由于多了這么一道處理過程，系統(tǒng)性能會受到一定的影響，所以大家在必要的時候才使用“鉤子”，并在使用完畢及時將其刪除。用到 HOOK 的程序有：WINDOWS 界面修改程 序、視窗鎖、網(wǎng)吧管理軟件，當然，常見的少不了木馬等程序。

BHO

    有時，你可能需要一個定制版本的瀏覽器。在這種情況下，你可以自由地把一些新穎但又不標準的特征增加到一個瀏覽器上。結(jié)果，你最終有的只是一個新但不標準的瀏覽器。Web瀏覽器控件只是瀏覽器的分析引擎。這意味著仍然存在若干的與用戶接口相關(guān)的工作等待你做——增加一個地址欄，工具欄，歷史記錄，狀態(tài)欄，頻道欄和收藏夾等。如此，要產(chǎn)生一個定制的瀏覽器，你可以進行兩種類型的編程——一種象微軟把Web瀏覽器控件轉(zhuǎn)變成一個功能齊全的瀏覽器如Internet Explorer。一種是在現(xiàn)有的基礎(chǔ)上加一些新的功能。如果有一個直接的方法定制現(xiàn)有的Internet Explorer該多好？BHO(Browser Helper Objects，筆者譯為“瀏覽器幫助者對象”，以下皆簡稱BHO)正是用來實現(xiàn)此目的的。

    BHO對象依托于瀏覽器主窗口。實際上，這意味著一旦一個瀏覽器窗口產(chǎn)生，一個新的BHO對象實例就要生成。任何BHO對象與瀏覽器實例的生命周期是一致的。BHO僅存在于Internet Explorer 4.0及以后版本中。如果你在使用microsoft Windows 98、 Windows 2000、 Windows 95 or Windows NT版本4.0 操作系統(tǒng)的話，也 就一塊運行了活動桌面外殼4.71，BHO也被Windows資源管理器所支持。 BHO是一個COM進程內(nèi)服務(wù)，注冊于注冊表中某一鍵下。在啟動時，Internet Explorer查詢那個鍵并把該鍵下的所有對象預(yù)以加載。

安裝惡意軟件和卸載實錄

    機器配置

    cpu P4 2.66G

    內(nèi)存 512*2

    主板 Asus P5VD1-x

    顯卡 6600

安裝惡意軟件總數(shù)

    本次安裝軟件的總數(shù)約有27種，用約這個詞，因為對這個數(shù)字不確定，實在不知道什么時候又中了招中招。包括了目前網(wǎng)上共享、免費軟件中捆綁的各種軟件以及各個網(wǎng)站開發(fā)的IE工具條等等。

圖1 筆者準備的軟件

    安裝過程中這些軟件99.9%都選擇C盤為他們的最佳棲息地，而且有80%以上都將安裝過程精簡到了極致，兩步甚至一步后，這個軟件就已經(jīng)在你的系統(tǒng)中駐扎下來了，在這其中唯有“酷客娛樂平臺” 選擇了D盤為他的老巢。

圖2 酷客娛樂平臺安裝在了D盤

使用

 

    在安裝了近一半的惡意軟件后,機器運行速度明顯變得遲緩，開個IE主頁也需40秒，透過任務(wù)管理器筆者們可以看到已經(jīng)有的惡意軟件開始進入進程了。

圖6 任務(wù)管理器中的進程也比較壯觀

圖7 相當壯觀的資源占用情況     安裝了80%了的惡意軟件后，機器運行速度進一步減慢，在Google的工具欄中鍵入了一個關(guān)鍵詞后按回車，這個頁面立即出現(xiàn)假死現(xiàn)象，約5分鐘后，搜索結(jié)果頁面才出現(xiàn)，右鍵菜單也充斥了這些本著“為用戶著想”的軟件的快捷菜單。

圖8 “體貼”的IE右鍵菜單     終于，IE扛不住，倒下了（圖9）。

圖9 IE不堪重負而倒下

    這是開機后的畫面，筆者關(guān)掉了自帶的殺毒軟件，任這些惡意軟件肆意的蹂躪筆者的電腦。（圖10）

圖10 流氓開始耍賴了

卸載過程

圖11 卸載前的情況

 

    第一步，正常卸載

 

    筆者先在控制面板中的添加刪除程序中用這些軟件自帶的卸載程序卸下他們，也許你會說80%以上都卸不了,實際上有65%左右的惡意軟件卸不完整，請注意筆者說的卸載不完整，意思是在使用其自帶的卸載程序后第三方工具能檢測到他們?nèi)匀挥谐绦蝰v留在電腦中，僅有20%的流氓軟件，能完全卸載掉，話說回來，該把這些能正常完整卸載掉的流氓軟件叫什么呢。剩下的15%后來被證實是冥頑不化的老頑固，他們緊緊的抓住Windows的頭發(fā)， 希望能永遠躲進這個溫床里，隨時發(fā)作。

    在正常卸載中有以下幾個非常明顯的死皮賴臉不走的：

    rich media

    青娛樂

    易趣

    YOK超級搜索

工具卸載

    筆者用第三方工具超級兔子7.55和惡意軟件清理助手1.96。

    掃描了一下，發(fā)現(xiàn)仍然有20個左右的而已程序還在電腦中，包括已經(jīng)使用其自身的卸載程序的某些軟件， 隨即，筆者開始了對這些給好臉還不走的惡意程序開始哄趕。

    先用惡意軟件清理助手掃描一遍隨后立即清理，清理兩次之后一些厚臉皮的惡意程序不情愿的走掉了，但是還有一小堆頑固勢力依然存在，這里筆者遇到了一搜工具條頑劣的抵抗，每次清理他的時候，他正人君子似的跳出一個對話框問筆者現(xiàn)在希望做什么，筆者按照他程序的一步步的點下去，希望他能夠了解筆者的心，拍拍屁股能好走，可他偏不，筆者以為按了卸載這個按鈕后他能立即閃人，可接連幾次，他依舊死死占據(jù)了位置不走。

圖12 卸載某軟件實錄一  

圖13 卸載某軟件實錄二

圖15 卸載某軟件實錄四

    用完了助手后筆者又打開了超級兔子，可以看到原先的近30個惡意程序已經(jīng)走了大半，還是有些惡意軟件清理助手清理不掉的，自然借助兔子筆者又是對這些惡意軟件清理了一番，如此幾次下來，近30個惡意軟件已經(jīng)基本清理掉了，最最頑固的當數(shù)百度搜霸和彩信通，筆者決定重起后對他們進，行進一步的行動。

 

    重起后，也只有百度搜霸一人死不悔改的站在那，三下五除二就把它給搞定了，用的還是惡意軟件清理助手。

圖16 百度搜霸相當“頑強”

    至此，筆者的惡意軟件清理工作已經(jīng)接近了尾聲，接下來的就是掃尾工作了。

    先到c盤中看看，有幾個惡意軟件還是留下點東西，刪除掉就好，再進入C:Program Files，這里也還有一些惡意軟件的殘留物清理掉他們后還剩下最后一步，就是清理啟動項，這里你有兩中選擇：

 

    一是在開始運行中鍵入msconfig打開系統(tǒng)配置實用程序找到啟動的選項卡，清理掉一些殘留的啟動項，重起；

    二是使用超級兔子或Windows優(yōu)化大師等工具來優(yōu)化啟動項

重新啟動后一切就都恢復到了原狀。

圖17 刪除殘留文件一

圖18 刪除殘留文件二

推薦工具：

    Unlocker 1.83

    惡意軟件清理助手1.96

    超級兔子

    Windows優(yōu)化大師