最近筆者發現自己的系統運行越來越慢,一時不知道是什麼原因造成的,於是下載了“System Repair Engineer”(以下簡稱SREng,下載地址http://www.KZTechs.com)這款系統檢測工具為系統把脈,結果藥到病除,現與大家一同分享。
一 系統檢測
SREng分為啟動項目、系統修復、智能掃描、擴展等四大部分。由於不清楚系統運行緩慢的原因,所以首先通過“智能掃描”來給系統做一個“全身檢查”。它會對系統進行了一個全方位的掃描,包括啟動項、浏覽器加載項、正在運行的進程、文件關聯等(圖1)。當程序掃描完成後,會給出一個和用戶系統有關的詳細報告。筆者通過檢測得知,情況都是由於某些流氓軟件造成的。
確定是流氓軟件的作為後,准備將它從系統中清除。雖然流氓軟件和木馬、病毒不一樣,但是運行方式是一樣的,我准備首先找到流氓軟件的啟動項,再一步步地進行清除。
二 清除可疑程序
為了增強用戶的識別能力,新版SREng增加了啟動項、服務危險性判斷規則,當發現可疑內容時會以顏色高亮顯示。紅色表示高危項目,藍色表示未知安全狀態項目。筆者首先查看“注冊表”啟動項,SREng會自動讀取Windows系統所有啟動項目的內容,如果發現默認的鍵值被修改成非默認值,那麼會彈出一個警告提示提醒用戶注意,結果沒有任何的可疑項目。tw.wiNgwit.CoM
我想伴隨著Windows 2000、XP、2003這些NT內核操作系統的逐漸普及,很多軟件都“與時俱進”改用系統服務進行啟動了,我想流氓軟件也不會例外吧。選擇“啟動項目”中的“服務”標簽,接著點擊“Win32 服務應用程序”按鈕,在彈出的窗口中就可以查看到當前系統服務情況。通過對這些進程的有效管理,能夠對系統進行優化,再選擇“隱藏微軟服務”選項後,程序會自動地屏蔽掉發行者是Microsoft的項目,從這些非微軟的服務中找到可疑之處,可是從中並沒有找到可疑的啟動項。
我知道除了利用系統服務外,個別流氓軟件還使用驅動程序進行啟動,大家看到“驅動程序”這四個字,可不要簡單地和硬件設備聯系到一起,其實很多應用程序在系統的底層都采用了自己編寫的驅動程序,這樣做的好處是不但可以增強程序的穩定性,而且還能更好地保護自己(圖2)。整好SREng後增加了“驅動程序”這個項目,通過認真的檢查,終於發現一處顯示為紅色的驅動程序,名為“Cnmin**.sys”。確定是流氓軟件的驅動後,選擇“刪除服務”選項後,點擊“設置”按鈕就能刪除這個驅動程序。
阿萌小提示:利用各種修復軟件刪除系統相關文件前一定要備份注冊表文件,避免誤刪造成的系統問題。
剛剛只清除了流氓軟件的啟動項,接下來還有其他的工作需要進行,因為流氓軟件更改了很多系統的默認信息。在“文件關聯”標簽中,SREng檢測到.CHM、.HLP兩種格式的文件的文件關聯被修改(圖3),顯示了一個錯誤標示。選中這兩項錯誤關聯,點擊“修復”按鈕就能進行自動恢復。 另外,浏覽器加載項是目前大多數“流氓軟件”使用的一種自我加載方法,由於浏覽器加載項在系統裡面進行了注冊,手工清除很困難並且容易引起系統的不穩定。現在通過在“浏覽器加載項”列表中選擇流氓軟件的選項,再點擊“刪除所選內容”按鈕將選擇的流氓軟件清除掉(圖4)。除此以外,這個流氓軟件還篡改了浏覽器默認的首頁和或搜索引擎,通過Windows Shell、Internet Explorer等選項中的功能立即就得到了修復。最終將這個該死的流氓軟件徹底地從系統中清除掉。
From:http://tw.wingwit.com/Article/Software/201309/784.html