目前很多软件的安装程序中都包含了“流氓软件”,有些甚至在安装过程中不予提示强行安装,一不小心就容易中招。喜欢尝试各类软件的笔者,最近被强制安装了“划词搜索”,而且不定期的出现“Iexplore.exe”不能读写内存的错误提示(如图1)。解决这两个问题费了笔者不少精力,解决过程也是一波三折,下面于大家分享。
图1
常规卸载,没门
遭遇划词搜索这个插件并不是第一次,笔者按照习惯进入“C:Program Fileshuaci”文件夹,运行其自带的卸载程序,然后返回上层文件夹,把huaci文件夹删除,却出现提示“正在使用”!于是运行unlocker程序,将其强行删除。随后进入注册表编辑器,以“huaci”为关键词搜索是否有该插件的残骸,没想到在“Run”中确实还存在,手动将其删除,本以为事情就此了解,没想到按下F5刷新,发现系统又重新建立了该键值(如图2)!
图2
提示:如果删除文件时遇到“正在使用”的提示,可以使用unlocker软件找到并结束程序所占用的进程并将其文件删除。
看来该键值存在守护程序。笔者使用诺顿出品的“Norton Process Viewer”进程管理软件查看,并没有发现异常进程,重新启动计算机后进入安全模式,进入注册表编辑器中重新尝试删除启动键值,可惜仍然会自动建立。
专杀工具,失败
看来这个插件并没有笔者想象的那么简单,不使用专用软件是不行了。笔者首先启用upiea程序,扫描后报告发现划词搜索的残骸,当尝试卸载时居然提示我“请通过其卸载程序清除”!更换“恶意软件清理助手”程序,点击“开始检测”按钮进行扫描,提示发现了划词搜索,当点击“开始清理”进行卸载时,发现该软件尝试了多次删除的操作,最后却提示“操作失败”!
这期间,Iexplore.exe又出现了报错的问题……。
检查服务列表,可疑
既然启动项键值存在守护程序,那么这个守护程序随系统自启动是肯定的了,但在所有的进程及其模块中都未发现可疑的地方,此时就应该检查一下后台的服务了。
在桌面上右击“我的电脑”,依次选择“管理/服务和应用程序/服务”,使用方向键逐个选择服务列表中的各个名称,并且观察左侧出现的功能描述信息,结果发现一个名为“System”的服务很可疑,双击该服务查看详细信息,如图所示(如图3)。
图3
由图中可以看出,该服务启动了c:Windowshh1.exe程序,通过搜索找到该程序,查看其属性发现是最近几天才建立的,不可能是系统自带的程序文件,尝试删除时提示正在使用。启动unlocker,发现该文件嵌入了Iexplore.exe进程,直接利用该工具解锁、删除,经过一段时间的运行,笔者发现那个Iexplore的读写出错对话框终于消失了。但重新进入注册表编辑器,删除划词搜索的键值时仍然失败!
启用“超级兔子”,成功
看来这是两个没有关联的问题,HH1.exe文件引起的读写出错问题已经解决,但划词搜索仍然无法删除干净。无奈上网搜索,发现有些网友建议使用超级兔子魔法设置中的相关功能尝试卸载。于是启动超级兔子,切换到“超级兔子优化王”模块,在“优化方式”中选择“专业卸载”,右侧出现的列表中却发现在划词搜索的“说明”栏中标明“没有找到”!笔者不甘心,抱着试试看的想法勾选“卸载划词搜索”,点击“下一步”,短暂等待后程序提示需要重新启动机器后再运行一次本卸载程序。马上重启,再次运行该卸载程序,随后进入注册表编辑器,发现存在于“RUN”中的“Movesearch”键值终于不见了。
小编点评
作者虽然最终解决了问题,但也走了不少弯路,其实一开始就不应该信任自带的卸载程序,应该直接使用超级兔子的卸载功能进行卸载,相信超级兔子一定能检测到划词搜索的存在,将留下程序残骸的几率降到最低,对待流氓软件就应该使用非常规方法!
当然,作者也有所收获:将Iexplore出错的根源找到了。广大读者也可以从作者走的弯路中学到不少对付流氓软件的基本方法。
此外,小编还有几个小小的建议:
1、下载软件应该首先考虑到如华军软件园等大型的网站,将捆绑恶意插件的几率降到最低,也可以避免软件含有病毒的情况。
2、安装过程中绝对不能一路回车,要仔细看看有没有是否安装插件的提醒。对于经常尝试各类软件的朋友,强烈建议使用虚拟机。
3、遇到存在守护程序的病毒时,应当使用增强版的进程查看器,只是用系统自带的任务管理器是远远不够的,而且绝对不能忽略对服务的检查。
4、专业工具是首选,手动操作应该作为辅助或应急的选择,否则反而会出现“添乱”的情况。