惡意程序

惡意程序主要包括：陷門、邏輯炸彈、特洛伊木馬、蠕蟲、細菌、病毒等。

計算機操作的陷門設置是指進入程序的秘密人口，它使得知道陷門的人可以不經過通常的安全檢查訪問過程而獲得訪問。程序員為了進行調試和測試程序，已經合法地使用了很多年的陷門技術。當陷門被無所顧忌的程序員用來獲得非授權訪問時，陷門就變成了威脅。對陷門進行操作系統的控制是困難的，必須將安全測量集中在程序開發和軟件更新的行為上才能更好地避免這類攻擊。 ^[2] 

在病毒和蠕蟲之前最古老的程序威脅之一是邏輯炸彈。邏輯炸彈是嵌入在某個合法程序裏面的一段代碼，被設置成當滿足特定條件時就會發作，也可理解為“爆炸”，它具有計算機病毒明顯的潛伏性。一旦觸發，邏輯炸彈的危害性可能改變或刪除數據或文件，引起機器關機或完成某種特定的破壞工作。 ^[3] 

特洛伊木馬是一個有用的，或表面上有用的程序或命令過程，包含了一段隱藏的、激活時進行某種不想要的或者有害的功能的代碼。它的危害性是可以用來非直接地完成一些非授權用户不能直接完成的功能。洛伊木星馬的另一動機是數據破壞，程序看起來是在完成有用的功能（如：計算器程序），但它也可能悄悄地在刪除用户文件，直至破壞數據文件，這是一種非常常見的病毒攻擊。

網絡蠕蟲程序是一種使用網絡連接從一個系統傳播到另一個系統的感染病毒程序。一旦這種程序在系統中被激活，網絡蠕蟲可以表現得像計算機病毒或細菌，或者可以注入特洛伊木馬程序，或者進行任何次數的破壞或毀滅行動。為了演化複製功能，網絡蠕蟲傳播主要靠網絡載體實現。如：①電子郵件機制：蠕蟲將自己的複製品郵發到另一系統。②遠程執行的能力：蠕蟲執行自身在另一系統中的副本。③遠程註冊的能力：蠕蟲作為一個用户註冊到另一個遠程系統中去，然後使用命令將自己從一個系統複製到另一系統。網絡蠕蟲程序靠新的複製品作用接着就在遠程系統中運行，除了在那個系統中執行非法功能外二它繼續以同樣的方式進行惡意傳播和擴散。

網絡蠕蟲表現出與計算機病毒同樣的特徵：潛伏、繁殖、觸發和執行期。繁殖階段一般完成如下的功能：①通過檢查主機表或類似的存儲中的遠程系統地址來搜索要感染的其它系統。②建立與遠程系統的連接。③將自身複製到遠程系統並引起該複製運行。網絡蠕蟲將自身複製到一個系統之前，也可能試圖確定該系統以前是否已經被感染了。在多道程序系統中，它也可能將自身命名成一個系統進程，或者使用某個系統管理員可能不會注意的其它名字來掩蔽自己的存在。和病毒一樣，網絡蠕蟲也很難對付，但如果很好地設計並實現了網絡安全和單機系統安全的測量，就可以最小化限制蠕蟲的威脅。

計算機中的細菌是一些並不明顯破壞文件的程序，它們的惟一目的就是繁殖自己。一個典型的細菌程序可能什麼也不做，除了在多道程序系統中同時執行自己的兩個副本，或者可能創建兩個新的文件外，每一個細菌都在重複地複製自己，並以指數級地複製，最終耗盡了所有的系統資源（如CPU,RAM，硬盤等），從而拒絕用户訪問這些可用的系統資源。

病毒是一種攻擊性程序，採用把自己的副本嵌入到其它文件中的方式來感染計算機系統。當被感染文件加載進內存時，這些副本就會執行去感染其它文件，如此不斷進行下去。病毒常都具有破壞性作用，有些是故意的，有些則不是。通常生物病毒是指基因代碼的微小碎片：DNA或RNA，它可以借用活的細胞組織製造幾千個無缺點的原始病毒的複製品。計算機病毒就像生物上的對應物一樣，它是帶着執行代碼進入。感染實體，寄宿在一台宿主計算機上。典型的病毒獲得計算機磁盤操作系統的臨時控制，然後，每當受感染的計算機接觸一個沒被感染的軟件時，病毒就將新的副本傳到該程序中。因此，通過正常用户間的交換磁盤以及向網絡上的另一用户發送程序的行為，感染就有可能從一台計算機傳到另一台計算機。在網絡環境中，訪問其它計算機上的應用程序和系統服務的能力為病毒的傳播提供了滋生的基礎。

比如CIH病毒，它是迄今為止發現的最陰險的病毒之一。它發作時不僅破壞硬盤的引導區和分區表，而且破壞計算機系統flash BIOS芯片中的系統程序，導致主板損壞。CIH病毒是發現的首例直接破壞計算機系統硬件的病毒。

再比如電子郵件病毒，超過85%的人使用互聯網是為了收發，電子郵件，沒有人統計其中有多少正使用直接打開附件的郵件閲讀軟件。“愛蟲”發作時，全世界有數不清的人惶恐地發現，自己存放在電腦上的重要的文件、不重要的文件以及其它所有文件，已經被刪得乾乾淨淨。

如今，惡意軟件及插件已經成為一種新的網絡問題，惡意插件及軟件的整體表現為清除困難，強制安裝，甚至幹攏安全軟件的運行。下面的文章中筆者就給大家講一部份惡意插件的手工清除方法，惡意插件實在太多，筆者無法做到一一講解，希望下面的這些方法能為中了惡意插件的網友提供一定的幫助。

惡意插件Safobj

相關介紹：

捆綁安裝，系統速度變慢，沒有卸載項/無法卸載，強制安裝，干擾其它軟件正常運行，

清除方法：

重新註冊IE項，修復IE註冊。從開始->；運行

輸入命令 regsvr32 actxprxy.dll 確定

輸入命令 regsvr32 shdocvw.dll 確定

重新啓動，下載反間諜專家查有沒有ADWARE，spyware，木馬等並用其IE修復功能修復IE和註冊表，用流氓軟件殺手或微軟惡意軟件清除工具清除一些難卸載的網站插件。

到down. 45it. com下載KillBox.exe。在C:/Program Files/Internet Explorer/目錄下，把LIB目錄或Supdate.log刪除。

跳窗網頁可能保留在HOSTS，一經上網就先觸發該網址為默認，就會自動打開，檢查HOSTS：

用記事本在C:/WINDOWS/system32/drivers/etc/目錄下打開HOSTS 。

在裏面檢查有沒有網址，有則刪除。

或在前面加

127．0.0.1

保存後屏蔽掉。

如果是彈出的信使：

從開始->；運行，輸入命令：

net stop msg

net stop alert

即終止信使服務。

惡意插件MMSAssist

相關介紹：

這其實是一款非常簡便易用的彩信發送工具，但它卻屬於流氓軟件，並採用了類似於木馬的Hook（鈎子）技術，常規的方法也很難刪除它，而且很佔用系統的資源。

清除方法：

方法一：它安裝目錄裏第一個文件夾有個.ini文件，它自動從http://update. borlander. cn/updmms/mmsass.cab下載插件包，包裏有albus.dll文件，UPX 0.80 - 1.24的殼，脱掉用16位進制軟件打開發現這個垃圾插件利用HOOK技術插入到explorer和iexplore中，開機就在後台自動運行。

安全模式下，右鍵點擊我的電腦-管理-服務-禁用jmediaservice服務，刪除C:/windows/system32下的Albus.DAT，刪除C:/WINDOWS/SYSTEM32/DRIVERS下的Albus.SYS，刪除彩信通的安裝文件夾，開始-運行-regedit-查找所有MMSAssist並刪除，如果怕註冊表還有彩信通的垃圾存在，下載個超級兔子掃描下注冊表再一一刪除，你也可以試試超級兔子的超級卸載功能。

要阻止它再次安裝，也很簡單。徹底刪除它之後，你在它原來的位置新建一個與它同名的文件夾，然後將這個文件夾的權限設置為連繫統管理員都是“只讀”，取消“寫入”和“運行”的權限。這樣它就再也裝不進我們的系統了。

方法二：用冰刃IceSword v1.18顯示這些文件：c:/program files/mmsassist文件夾、windows/system32/albus.dat、windows/system32/drivers/Albus.SYS，把mmsassist文件夾及其子文件夾中的文件一一刪除，把albus.dat、albus.sys刪除。再到c:/program files下面看一下，mmsassist裏又回來的兩個文件，不過不要緊張，刪除mmsassist文件夾，刷新，文件夾已經不見了。如果還不放心，可以進入regedit，搜索mmsassist，把帶有mmsassist相關字樣的鍵值一一清除！

惡意插件popnts.dll

相關介紹：

求助SREng日誌整理出來的，主要表現是彈出廣告，在收到郵件後，發現這個東東跟前段時間整理的流氓軟件0848/baisoa幾乎一致，看來也只是一個毫無新意的升級版

病毒文件及文件夾

%windir%/winamps.exe

%windir%/realupdate.exe

%windir%/POPNTS.DLL

%windir%/ScNotify.dll

%system%/{pchome}/.setupf/

添加註冊表啓動項

[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

updatereal %windir%/realupdate.exe other

winsamps %windir%/winamps.exe

冒充微軟信息的啓動項

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify]

ScCardLogn %windir%/ScNotify.dll

添加一個BHO

[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID]

[HKEY_CLASSES_ROOT/CLSID]

{DE7C3CF0-4B15-11D1-ABED-709549C10000} %windir%/POPNTS.DLL

清除方法：

1．停止winamps.exe、realupdate.exeviruspe. com的進程

2．刪除添加的所有註冊表信息

3．重啓後刪除、或者使用Unlocker刪除所有的病毒文件

PS：

1．由於病毒變種，可能實際情況與本文描述不同，但清除方法是一定的 本內容來源於電腦硬件

2．由於其具備download馬特徵，除此之外，可能伴隨着其他病毒或流氓軟件。

惡意插件WBForm

相關介紹：

這個程序其實是一個IE的惡意插件，應該屬於Spyware/Adware之類的軟件，會隨着IE一起啓動，而且有時會彈出廣告窗口。

清除方法：

為了徹底刪除它，重新啓動電腦後不要運行IE，直接刪除Windows目錄下的adstate.dat和WindowsSystem32目錄下的mewin.dll文件（如果無法刪除請重新啓動進入安全模式再刪）。然後，運行註冊表編輯器（Regedit），搜索並刪除包含如下關鍵字的所有鍵值即可：3D898C55-74CC-4B7C-B5F1-45913F368388。

惡意插件ACTIVEX

清除方法：

1．打開IE，進入"工具-internet選項"窗口，在"常規"選項上單擊"設置"按鈕彈出"設置"對話框，單擊"查看對象"可查看機器上已經安裝的一些ACTIVEX控件。

2．可以在"查看對象"窗口中直接刪除控件，不過這樣刪除只能暫時清除騷擾，要想徹底屏蔽還需要了解它的SLSID值，找到惡意ACTIVEX插件，查看屬性，在常規選項卡上ID後面的就是SLSID了。

3．新建一個REG腳本，內容如下：

[hkey_local_machine/software/microsoft/internet explorer/activex compatibility/{x}](x就是在得到的SLSID)

"compatibility flags"=dword:00000400

保存後導入註冊表。

“天下搜索”

相關介紹：

一開始從添加刪除裏面想刪除這個插件，一下子就死機了，baidu上搜索如何卸載，例子有很多，總結了下，不外乎二種：手工卸載、工具卸載。

清除方法：

一、手工卸載

1，關閉IE瀏覽器，以免刪除時程序佔用而失敗。

2，打開C:/WINDOWS/Downloaded Program Files/，你可以看到有個“天下搜索.ocx”控件，右鍵屬性，選擇“相關內容”選項卡，列出了其他相關文件的路徑和文件名，我這裏顯示以下幾個文件：

BARHELP22.0.DLL

IEBAR22.0.DLL

TOLLBAR.BMP

HDTBAR.XML

IEBAR.INF

以上文件所在目錄都是C:/WINDOWS/Downloaded Program Files/

但直接打開這個目錄卻又看不到上述文件：！

3，開始-程序-附件-命令提示符

彈出dos窗口，輸入以下命令：

cd.. 回車

cd.. 回車（退到C盤根目錄）

cd winnt 回車

cd Downloaded Program Files 回車

你可以看到我們所要刪除的幾個文件

然後用del命令刪除相關文件

最後回到文件夾C:/WINDOWS/Downloaded Program Files/ 將“天下搜索.ocx”刪除。

4，打開regedit，刪除HEKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer下的兩個關於IE toolbar 下的天下搜索鍵值（因為個人不喜歡用任何的搜索條，把兩個關於toolbar文件夾都刪掉了，記不起這兩個文件夾的名字了，自己慢慢在Internet Explorer 下面找）

5，至此卸載完畢，你可以打開IE瀏覽器，發現已經沒有“天下搜索”了！

偽lsass.exe

相關介紹：

這是個木馬病毒，生成程序不在C盤裏。即使你重裝了系統也還是會存在。

清除方法：

把系統盤放在光驅裏，在調為用硬盤啓動。重起機子，查找你的桌面上那個圖標花了，也就是和以前的不一樣了，明顯的不一樣的（或者是你中毒的那一天）。查看屬性，生成日期是什麼，記下來。然後就是比較麻煩的了，把你的電腦裏除了C盤的所有盤只要是那個日期的全刪了。我的是12.8號的，我就把是12.8號創建的都刪了（即使你記得你的有些文件不是那天創建的，只要是那個日期就刪，因為它已經被感染了。）再者，還是刪系統文件C盤除外。

把你的網線拔了，重起機子。記得是從硬盤啓動！把你機子上原有的殺毒軟件刪了，裝前面你下載的那個。掃描一遍你的電腦，有可疑的全刪。不能刪的用冰刀強行刪除。還要再刪一遍系統文件還是出盤以外的。觀察你的10分鐘c:WINDOWS/system32/com裏面還有沒有lsass.exe和smss.exe?這時候我的機子沒有了，真的沒有了呢 呵呵高興！

重起，調為正常啓動（不用從硬盤啓動）可以了，我的殺毒過程就是這樣，中間可能有些步驟是不必要的。但我也説不好 所以就把解決的過程寫下來了，希望對大家有用。

記得機子搞好後 用瑞星掃描下有沒有漏洞，有的話就趕快修復。還有360也會查找你的系統有沒有漏洞。

偽realshed惡意程序

相關介紹：

廣告軟件。未經用户允許，下載並安裝在用户電腦上；無法徹底卸載；在後台收集用户信息牟利，危及用户隱私；頻繁彈出廣告，消耗系統資源，使其運行變慢等。

清除方法：

1．CTRL+ALT+DEL，結束REALSHED進程

2．打開REAPLAYER，在設置內終止它的自動更新和消息中心的相關功能，具體自己摸索下了，我這裏沒裝這個大塊頭的播放軟件

3．卸載REAPLAYER，並在相應目錄刪除它的文件夾，將它徹底消滅

如果只是普通的病毒，這樣做應該可以搞定了，還不行的話，你在搜索內搜索realshed，注意打開搜索隱藏文件，或者在CMD窗口下執行DIR REALSHED*.* /A /S，找到這個垃圾的藏身之處

剩下的就是用360的刪除工具把這個垃圾分屍了

另外無論你怎麼操作，都記得要檢查下注冊表，搜索下realshed這幾個字符，把相關項給刪除了

如果這樣還不行，那你可能要使用DRIVERVIEW，檢查下你加載的驅動，把可疑的加載給刪除掉

另外分析報告中以下幾個很可疑，你可以直接把他們清理了

O41 - wgaalmvm - wgaalmvm - C:/WINDOWS/system32/drivers/wgaalmvm.sys - (running) - - - e67f70a1049c762ac72824683172790b

O41 - boot001 - boot001 - C:/WINDOWS/system32/drivers/boot001.sys - (not running) - - -

O41 - WINIO - WINIO - F:/winio.sys - (not running) - - -

這3項非常可疑，尤其是BOOT001.SYS和WINIO.SYS，建議將其刪除並檢查註冊表清理之.

SpyCrush

相關介紹：

安裝在“我的電腦”的C:/Program Files目錄下，名叫Video ActiveX Access，會把IE主頁全改為http:// protectstand. com /，不會影響上網。！

清除方法：

1．開機進入安全模式（開機的時候一直不停的按F8鍵）。

2．啓動Smit Fraud Fix（就是上面讓下載的那款軟件）。

3．按2，然後enter

4．它會問你是不是要清除Registry，按 Y。

重新啓動電腦，OK，清理SpyCrush完畢

zh130. com彈出窗口

相關介紹：

強制安裝、無法徹底刪除、彈出廣告

清除方法：

殺毒前關閉系統還原：右鍵 我的電腦 ，屬性，系統還原，在所有驅動器上關閉系統還原 打勾即可。

清除IE的臨時文件：打開IE 點工具-->Internet選項 : Internet臨時文件，點“刪除文件”按鈕 ，將 刪除所有脱機內容 打勾，點確定刪除。

啓動項目 -->；註冊表 的如下項

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]

[N/A]

[N/A]

啓動項目 -->；服務-->Win32服務應用程序 的如下項

[Voolume Shadow Copyre2 / ServiceCopyre9]

啓動項目 -->；服務-->；驅動程序（如果刪不掉，就設置類型為disabled!)

[MSJDrvr / MSJDrvr]

3 WINDOWS清理助手清理 清理

dudu加速器

相關介紹：

DuDu下載加速器是由領先的P2P技術公司千橡互聯開發的一款基於P2P技術的極速下載軟件。

清除方法：

第一次安裝dudu後，在C:Program Files下生成HDP文件夾；在進程裏表現出來的是MSHTA.exe和henbang.exe，分別對應的運行窗口和駐留在任務欄上的 henbang，啓動項裏會添加“很棒小秘書”（手動安裝時會提示）。卸載它，先在“添加/刪除程序”裏，發現有 HAP 和 很棒小秘書 ，直接執行卸載。

注意的是，先執行卸載“HAP”，然後再執行卸載“很棒小秘書”。否則，C:Program FilesHDP依然存在，且程序完整，執行的刪除沒有完成。最後檢查，往system32裏寫入的三個文件（二個ini文件，一個hbhap.dll 文件），也成功刪除。

所以，如果大家電腦裏有這個軟件且一時無法卸載的或提示pupw.sys錯誤的，可主動安裝一次，然後按上面方法執行卸載。

另檢查一下是否有C:Program FilesHBClient，如果有，説明系統裏還裝有裝上 很棒通行證 ，可在添加刪除裏執行卸載 Henbang Passport。

“很棒小秘書”卸載方法

相關介紹：

很棒小秘書是很棒公司的代表軟件，它是一個多功能的桌面信息和桌面商務平台。安裝之後，不論使用任何一種搜索引擎，屏幕下方都會彈出與搜索關鍵詞關聯的廣告，而且無論如何也無法徹底刪除。

清除方法：

雙擊"c:windowssystem32"下的uninstall.exe 或者henbangkiller.exe 即可，

然後刪除這兩個文件和C:Program Fileshenbang文件夾。

如果你是xp sp2版，可以按照以下方法關閉它：

1：首先打開ie，然後選擇“internet選項”

2：選擇“程序”頁，點擊“管理加載項”

3：選中“UrlMonitor Class”，選擇禁用此項

4：OK了

最好運行msconfig將winup.exe的加載項去掉winup.exe

相關介紹：

木馬 winup.exe經常和“很棒小秘書”一同出現，所以也要一起清除。

清除方法：

1．在IE的工具裏點"管理加載項",禁用Downloadvalue Class,EyeOnIe Class,URLMonitor Class

2．在system32中運行一下henbangkiller.exe 再刪除 winhtp.dll hap.dll xpieknl.dll winup.exe

3．在註冊表中刪除

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的 winup 鍵

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的 updata鍵

在msconfig裏面還有一個可疑的東西：msstart.exe 在任務管理器裏幹掉msstart的進程，然後再到system32目錄下delete掉msstart.exe這個文件。

卸載九魚快車

相關介紹：

九魚快車，彈窗網站，在瀏覽一些網站的時候，那些網站會有一些惡意代碼使你的電腦自動下載IE插件，插件就是這個彈窗廣告了。

清除方法：

1．撥掉網線，重啓電腦，進入安全模式（啓動電腦的時候按F8鍵進入）。

2．在安全模式下，打開我的電腦，搜索九魚快車的名稱www.******.com搜索“*”部分。將搜索出來的文件全部刪除掉。

3．開始-運行，輸入msconfig，在啓動設置裏的勾全部取消。退出而不重啓。

4．進入註冊表（運行裏輸入regedit），在註冊表裏搜索（*）部分，將搜索出來的值項全部刪除掉

卸載EeyOnIE/4199

清除方法：

1．下載本站的費爾強制刪除工具啓動電腦按F8進入安全模式.

2．刪除以下文件.如果刪除不了就用費爾強制刪除工具.

C:/WINDOWS/system32/biuky.dll

C:/WINDOWS/system32/yeheadk.dll 這個文件在註冊表裏搜索一下4997cd60609f9aac63a4c1204501910e值

C:/WINDOWS/system32/drivers/kanfsfm.sys 這個文件在註冊表裏搜索一c096dc989756c7d6a57f3fdc9bc3b9cf

C:/WINDOWS/System32/DRIVERS/osrnc.sys

C:/WINDOWS/system32/drivers/yeheadk.sys 註冊表 53f365b06c3b83af46bf951fbb05ee0a

C:/WINDOWS/system32/drivers/aficthz.sys

C:/WINDOWS/system32/drivers/dadi_g.sys

提示：在開始--運行裏輸入 regedit 進入註冊表.

3．保險一下，在我的電腦和註冊表裏搜索一下：EeyOnIE和4199.如果有搜索到關於EeyOnIE和4199的文件，全部刪除掉.最後，我們不防進入啓動項設置（運行裏輸入msconfig）…觀察一下啓動裏有沒有這兩項相關的值.

4．重新啓動電腦.卸載EeyOnIE/4199完畢.如果還未成功.清多清理一次..

卸載searchsite_pg/3839

相關介紹：

3839在線小遊戲的惡意插件

清除方法：

1．建議把這篇文章複製一下。放到記事本裏。然後重新啓動電腦，進入安全模式（開機的時候按 F8）。

2．在安全模式下，打開我的電腦。然後點搜索，在搜索框裏輸入host，將搜索到的文件打開觀察，應該其中一個有Host: 127.0.0.1 localhost #test這些字。這個不要刪了。刪除除了這個文件之外的其他HOST文件。

3．刪除每個盤下目錄PROGRAFILE/3839在線小遊戲/3839.dll文件。

4．在註冊表中（開始--運行 輸入regedit）搜索276999E8-02F7-4a55-ACFD-1F2E94402671和276999E8-02F7-4a55-ACFD-1F2E94402671還有{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A，將搜索出來的值項全部刪除。這都是searchsite_pg/3839惡意插件的。

5．開始--運行 輸入msconfig 然後點裏面的一個啓動，在裏面把有關3839的內容的勾去掉。

6．還是在我的電腦裏搜索一下3839.dll ，這是為了保險起見。

OK了。重啓下計算機。

惡意插件ddoc

相關介紹：ddoc惡意軟件和插件都殺不掉，“重啓”和“安全模式”都無法。表現廣告多。速度慢等。

清除方法：

1．用regworkshop搜索註冊表 關鍵字是“a64e86”，將搜索到的結果全部用冰刃icesword刪除掉，

2．HKEY_CLASSES_ROOT/clsid

還有在HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Ext/Stats

和HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects

這幾個目錄下的值項全部用以上兩個軟件來刪除.

3．清理ddoc成功，重新啓動後看還有沒有ddoc.

UUSEE病毒

相關介紹：

自動安裝，無卸載程序。

清除方法：

1．打開我的電腦，選工具——文件夾選項。

然後點搜索 在第一個框裏輸入UUSEE。查找出來的項全部刪除去。卸載UUSEE網絡電視就這個樣，簡單！

2．開註冊表（開始——運行：輸入regedit），在註冊表中查找uusee，查找出來的項值全部清除去。

3．開始——運行：輸入msconfig，在啓動項裏什麼也不留！切記！

4．重新啓動後再重複以上步驟（除了第三步MSCONFIG之外）。

5．卸載UUSEE網絡電視成功，繼續自己該做的事！

rpcc

相關介紹：

這是一款在用户不知情的情況下自動安裝到用户電腦上的一款惡意軟件，rpcc會自動訪問網絡， 在屏蔽了之後只要你每次啓動IE,QQ之類的這個東西又自動訪問了。rpcc會不斷連接不同地址的25端口，，監聽不同地址的53端口。

清除方法：

1．斷開網絡。

2．運行“冰刃”，在結束病毒進程前，先勾選“禁止線程創建和禁止協件功能”，然後結束病毒進程。

3．運行 “sc delete 21A4AFA0”，刪除病毒服務。

4．刪除病毒文件

5．打開 “卡卡上網安全助手”在“系統啓動項管理中”，刪除所有可疑項目。

這時，會發現“rpcc.dll”這個文件刪除不了（在安全模式下也不能刪除），我們需要用 win98啓動盤，或者從光驅啓動，切換到系統目錄，執行

cd system32

del rpcc.dll

即可刪除。

重啓後更新到最新病毒庫，然後全面殺毒。

NB46工具欄

相關介紹：

NB46工具欄是在IE地址欄下方的一排如百度搜霸什麼的一樣的。進程NB46

清除方法：

1．進入安全模式（電腦啓動的時候按F8，有的電腦是按F2的）。在安全模式裏用360檢測NB46文件名稱。

2．將檢測到的文件名搜索，既是打開我的電腦，搜索，輸入檢測到的文件名，將搜索到的文件全部刪除去。然後再搜索NB46文件，不管是EXE還是DLL等文件，都刪除掉。

3．進入啓動服務（開始-運行），輸入msconfig，選擇啓動，將與NB46相關的啓動項全部把勾取消。

4．進入註冊表（開始-運行），輸入regedit，編輯-查找。輸入nb46和檢測到的文件名，見查找出來的值項全部刪除。

5．重新啓動。