恶意插件务必清除,介绍几种手工清除方法

-.z.20种恶意插件手工去除方法如今，恶意软件及插件已经成为一种新的网络问题，恶意插件及软件的整体表现为去除困难，强制安装，甚至干拢平安软件的运行。下面的文章中就给大家讲一部份恶意插件的手工去除方法，恶意插件实在太多，无法做到一一讲解，希望下面的这些方法能为中了恶意插件的网友提供一定的帮助。1、恶意插件Safobj相关介绍：

捆绑安装,系统速度变慢,没有卸载项/无法卸载,强制安装,干扰其它软件正常运行,

去除方法：

重新注册IE项，修复IE注册。从开场->运行

输入命令regsvr32act*pr*y.dll确定

输入命令regsvr32shdocvw.dll确定

重新启动，下载反间谍专家查有没有ADWARE，spyware，木马等并用其IE修复功能修复IE和注册表，用流氓软件杀手或微软恶意软件去除工具去除一些难卸载的插件。

到down.45it.下载KillBo*.e*e。在C:\ProgramFiles\InternetE*plorer\目录下，把LIB目录或Supdate.log删除。

跳窗网页可能保存在HOSTS，一经上网就先触发该网址为默认，就会自动翻开，检查HOSTS：

用记事本在C:\WINDOWS\system32\drivers\etc\目录下翻开HOSTS

在里面检查有没有网址，有则删除。

或在前面加

127.0.0.1

保存后屏蔽掉。

如果是弹出的信使：

从开场->运行，输入命令：

netstopmsg

netstopalert

即终止信使效劳。2、恶意插件MMSAssist相关介绍：

这其实是一款非常简便易用的彩信发送工具，但它却属于流氓软件!并采用了类似于木马的Hook(钩子)技术，常规的方法也很难删除它，而且很占用系统的资源。

去除方法：

方法一：它安装目录里第一个文件夹有个.ini文件，它自动从update.borlander./updmms/mmsass.cab下载插件包，包里有albus.dll文件，UP*0.80-1.24的壳，脱掉用16位进制软件翻开发现这个垃圾插件利用HOOK技术插入到e*plorer和ie*plore中，开机就在后台自动运行。

平安模式下，右键点击我的电脑-管理-效劳-禁用jmediaservice效劳，删除C:\windows\system32下的Albus.DAT，删除C:\WINDOWS\SYSTEM32\DRIVERS下的Albus.SYS，删除彩信通的安装文件夹，开场-运行-regedit-查找所有MMSAssist并删除，如果怕注册表还有彩信通的垃圾存在，下载个超级兔子扫描下注册表再一一删除，你也可以试试超级兔子的超级卸载功能。

要阻止它再次安装，也很简单。彻底删除它之后，你在它原来的位置新建一个与它同名的文件夹，然后将这个文件夹的权限设置为连系统管理员都是"只读〞，取消"写入〞和"运行〞的权限。这样它就再也装不进我们的系统了。

方法二：用冰刃IceSwordv1.18显示这些文件：c:\programfiles\mmsassist文件夹、windows\system32\albus.dat、windows\system32\drivers\Albus.SYS，把mmsassist文件夹及其子文件夹中的文件一一删除，把albus.dat、albus.sys删除。再到c:\programfiles下面看一下，mmsassist里又回来的两个文件，不过不要紧*，删除mmsassist文件夹，刷新，文件夹已经不见了。如果还不放心，可以进入regedit，搜索mmsassist，把带有mmsassist相关字样的键值一一去除!3、恶意插件popnts.dll相关介绍：

求助SREng日志整理出来的，主要表现是弹出广告，在收到后，发现这个东东跟前段时间整理的流氓软件0848\baisoa几乎一致，看来也只是一个毫无新意的升级版

病毒文件及文件夹

%windir%\winamps.e*e

%windir%\realupdate.e*e

%windir%\POPNTS.DLL

%windir%\Sotify.dll

%system%\{pchome}\.setupf\

添加注册表启动项

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

updatereal%windir%\realupdate.e*eother

winsamps%windir%\winamps.e*e

冒充微软信息的启动项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify]

ScCardLogn%windir%\Sotify.dll

添加一个BHO

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]

[HKEY_CLASSES_ROOT\CLSID]

{DE7C3CF0-4B15-11D1-ABED-709549C10000}%windir%\POPNTS.DLL

去除方法：

1、停顿winamps.e*e、realupdate.e*eviruspe.的进程

2、删除添加的所有注册表信息

3、重启后删除、或者使用Unlocker删除所有的病毒文件

PS：

1、由于病毒变种，可能实际情况与本文描述不同，但去除方法是一定的本内容来源于电脑硬件

2、由于其具备download马特征，除此之外，可能伴随着其他病毒或流氓软件。4、恶意插件WBForm相关介绍：

这个程序其实是一个IE的恶意插件，应该属于Spyware/Adware之类的软件，会随着IE一起启动，而且有时会弹出广告窗口。

去除方法：

为了彻底删除它，重新启动电脑后不要运行IE，直接删除Windows目录下的adstate.dat和WindowsSystem32目录下的mewin.dll文件(如果无法删除请重新启动进入平安模式再删)。然后，运行注册表编辑器(Regedit)，搜索并删除包含如下关键字的所有键值即可：3D898C55-74CC-4B7C-B5F1-45913F368388。5、恶意插件ACTIVE*去除方法：

1、翻开IE，进入"工具-internet选项"窗口，在"常规"选项上单击"设置"按钮弹出"设置"对话框，单击"查看对象"可查看目前机器上已经安装的一些ACTIVE*控件。

2、可以在"查看对象"窗口中直接删除控件，不过这样删除只能暂时去除骚扰，要想彻底屏蔽还需要了解它的SLSID值，找到恶意ACTIVE*插件，查看属性，在常规选项卡上ID后面的就是SLSID了。

3、新建一个REG脚本，内容如下：

[hkey_local_machine\software\microsoft\internete*plorer\active*patibility\{*}](*就是在得到的SLSID)

"patibilityflags"=dword:00000400

保存后导入注册表。6、"天下搜索〞相关介绍：

一开场从添加删除里面想删除这个插件，一下子就死机了，baidu上搜索如何卸载，例子有很多，总结了下，不外乎二种：手工卸载、工具卸载。

去除方法：

一、手工卸载

1，关闭IE浏览器，以免删除时程序占用而失败。

2，翻开C:\WINDOWS\DownloadedProgramFiles\，你可以看到有个"天下搜索.oc*〞控件，右键属性，选择"相关内容〞选项卡，列出了其他相关文件的路径和文件名，我这里显示以下几个文件：

BARHELP22.0.DLL

IEBAR22.0.DLL

TOLLBAR.BMP

HDTBAR.*ML

IEBAR.INF

以上文件所在目录都是C:\WINDOWS\DownloadedProgramFiles\

但直接翻开这个目录却又看不到上述文件：!

3，开场-程序-附件-命令提示符

弹出dos窗口，输入以下命令：

cd..回车

cd..回车(退到C盘根目录)

cdwinnt回车

cdDownloadedProgramFiles回车

你可以看到我们所要删除的几个文件

然后用del命令删除相关文件

最后回到文件夹C:\WINDOWS\DownloadedProgramFiles\将"天下搜索.oc*〞删除。

4，翻开regedit,删除HEKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetE*plorer下的两个关于IEtoolbar下的天下搜索键值(因为个人不喜欢用任何的搜索条，把两个关于toolbar文件夹都删掉了，记不起这两个文件夹的名字了，自己慢慢在InternetE*plorer下面找)

5，至此卸载完毕，你可以翻开IE浏览器，发现已经没有"天下搜索〞了!7、伪lsass.e*e相关介绍：

这是个木马病毒，生成程序不在C盘里。即使你重装了系统也还是会存在。

去除方法：

把系统盘放在光驱里，在调为用硬盘启动。重起机子，查找你的桌面上那个图标花了，也就是和以前的不一样了，明显的不一样的(或者是你中毒的那一天)。查看属性，生成日期是什么，记下来。然后就是比拟麻烦的了，把你的电脑里除了C盘的所有盘只要是那个日期的全删了。我的是12.8号的，我就把是12.8号创立的都删了(即使你记得你的有些文件不是那天创立的，只要是那个日期就删，因为它已经被感染了。)再者，还是删系统文件C盘除外。

把你的网线拔了，重起机子。记得是从硬盘启动!把你机子上原有的杀毒软件删了，装前面你下载的那个。扫描一遍你的电脑，有可疑的全删。不能删的用冰刀强行删除。还要再删一遍系统文件还是出盘以外的。观察你的10分钟c:WINDOWS\system32\里面还有没有lsass.e*e和smss.e*e"

重起，调为正常启动(不用从硬盘启动)可以了，我的杀毒过程就是这样，中间可能有些步骤是不必要的。但我也说不好所以就把解决的过程写下来了，希望对大家有用。

记得机子搞好后用瑞星扫描下有没有漏洞，有的话就赶快修复。还有360也会查找你的系统有没有漏洞。8、伪realshed恶意程序相关介绍：

广告软件。未经用户允许，下载并安装在用户电脑上;无法彻底卸载;在后台收集用户信息牟利，危及用户隐私;频繁弹出广告，消耗系统资源，使其运行变慢等。

去除方法：

1CTRL+ALT+DEL,完毕REALSHED进程

2翻开REAPLAYER,在设置内终止它的自动更新和消息中心的相关功能,具体自己摸索下了,我这里没装这个大块头的播放软件

3卸载REAPLAYER,并在相应目录删除它的文件夹,将它彻底消灭

如果只是普通的病毒,这样做应该可以搞定了,还不行的话,你在搜索内搜索realshed,注意翻开搜索隐藏文件,或者在CMD窗口下执行DIRREALSHED*.*/A/S,找到这个垃圾的藏身之处

剩下的就是用360的删除工具把这个垃圾分尸了

另外无论你怎么操作,都记得要检查下注册表,搜索下realshed这几个字符,把相关项给删除了

如果这样还不行,那你可能要使用DRIVERVIEW,检查下你加载的驱动,把可疑的加载给删除掉

另外分析报告中以下几个很可疑,你可以直接把他们清理了

O41-wgaalmvm-wgaalmvm-C:\WINDOWS\system32\drivers\wgaalmvm.sys-(running)---e67f70a9、SpyCrush相关介绍：

安装在"我的电脑〞的C:\ProgramFiles目录下，名叫VideoActive*Access，会把IE主页全改为protectstand./，不会影响上网。!

去除方法：

1、开机进入平安模式(开机的时候一直不停的按F8键)。

2、启动SmitFraudFi*(就是上面让下载的那款软件)。

3、按2，然后enter

4、它会问你是不是要去除Registry,按Y。

重新启动电脑，OK，清理SpyCrush完毕10、zh130.弹出窗口相关介绍：

强制安装、无法彻底删除、弹出广告

去除方法：

杀毒前关闭系统复原：右键我的电脑，属性，系统复原，在所有驱动器上关闭系统复原打勾即可。

去除IE的临时文件：翻开IE点工具-->Internet选项:Internet临时文件，点"删除文件〞按钮，将删除所有脱机内容打勾，点确定删除。

2启动工程-->注册表的如下项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\E*plorer\ShellE*ecuteHooks]

<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><>[N/A]

<{25E1EECB-E580-4032-97A2-A456D33820D1}>[N/A]

启动工程-->效劳-->Win32效劳应用程序的如下项

[VoolumeShadowCopyre2/ServiceCopyre9]

<>

启动工程-->效劳-->驱动程序(如果删不掉，就设置类型为disabled!)

[MSJDrvr/MSJDrvr]

3WINDOWS清理助手清理清理

相关介绍：

DuDu下载加速器是由领先的P2P技术公司千橡互联开发的一款基于P2P技术的极速下载软件。

去除方法：

第一次安装dudu后，在C:ProgramFiles下生成HDP文件夹;在进程里表现出来的是MSHTA.e*e和henbang.e*e，分别对应的运行窗口和驻留在任务栏上的henbang，启动项里会添加"很棒小秘书〞(手动安装时会提示)。卸载它，先在"添加/删除程序〞里，发现有HAP和很棒小秘书，直接执行卸载。

注意的是，先执行卸载"HAP〞，然后再执行卸载"很棒小秘书〞。否则，C:ProgramFilesHDP依然存在，且程序完整，执行的删除没有完成。最后检查，往system32里写入的三个文件(二个ini文件，一个hbhap.dll文件)，也成功删除。

所以，如果大家电脑里有这个软件且一时无法卸载的或提示pupw.sys错误的，可主动安装一次，然后按上面方法执行卸载。

另检查一下是否有C:ProgramFilesHBClient，如果有，说明系统里还装有装上很棒通行证，可在添加删除里执行卸载HenbangPassport。12、"很棒小秘书〞卸载方法相关介绍：

很棒小秘书是很棒公司的代表软件,它是一个多功能的桌面信息和桌面商务平台。安装之后，不管使用任何一种搜索引擎，屏幕下方都会弹出与搜索关键词关联的广告，而且无论如何也无法彻底删除。

去除方法：

双击"c:windowssystem32"下的uninstall.e*e或者henbangkiller.e*e即可，

然后删除这两个文件和C:ProgramFileshenbang文件夹。

如果你是*psp2版，可以按照以下方法关闭它：

1：首先翻开ie，然后选择"internet选项〞

2：选择"程序〞页，点击"管理加载项〞

3：选中"UrlMonitorClass〞，选择禁用此项

4：OK了

最好运行msconfig将winup.e*e的加载项去掉13、winup.e*e相关介绍：

木马winup.e*e经常和"很棒小秘书〞一同出现，所以也要一起去除。

去除方法：

1、在IE的工具里点"管理加载项",禁用DownloadvalueClass,EyeOnIeClass,

URLMonitorClass

2、在system32中运行一下henbangkiller.e*e再删除winhtp.dllhap.dll

*pieknl.dllwinup.e*e

3、在注册表中删除

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的winup键

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的updata键

在msconfig里面还有一个可疑的东西：msstart.e*e在任务管理器里干掉msstart的进程,然后再到system32目录下delete掉msstart.e*e这个文件。14、卸载九鱼快车相关介绍：

九鱼快车，弹窗，在浏览一些的时候，那些会有一些恶意代码使你的电脑自动下载IE插件，插件就是这个弹窗广告了。

去除方法：

1、拨掉网线，重启电脑，进入平安模式(启动电脑的时候按F8键进入)。

2、在平安模式下，翻开我的电脑，搜索九鱼快车的名称.******.搜索"*〞局部。将搜索出来的文件全部删除掉。

3、开场-运行，输入msconfig，在启动设置里的勾全部取消。退出而不重启。

4、进入注册表(运行里输入regedit)，在注册表里搜索(*)局部，将搜索出来的值项全部删除掉。15、卸载EeyOnIE/4199去除方法：

1、下载本站的费尔强制删除工具启动电脑按F8进入平安模式.

2、删除以下文件.如果删除不了就用费尔强制删除工具.

C:\WINDOWS\system32\biuky.dll

C:\WINDOWS\system32\yeheadk.dll这个文件在注册表里搜索一下4997cd60609f9aac63a4c1204501910e值

C:\WINDOWS\system32\drivers\kanfsfm.sys这个文件在注册表里搜索一c096dc989756c7d6a57f3fdc9bc3b9cf

C:\WINDOWS\System32\DRIVERS\osrnc.sys

C:\WINDOWS\system32\drivers\yeheadk.sys注册表53f365b06c3b83af46bf951fbb05ee16、卸载searchsite_pg/3839相关介绍：

3839在线小游戏的恶意插件

去除方法：

1、建议把这篇文章复制一下。放到记事本里。然后重新启动电脑，进入平安模式(开机的时候按F8)。

2、在平安模式下，翻开我的电脑。然后点搜索，在搜索框里输入host，将搜索到的文件翻开观察，应该其中一个有Host:127.0.0.1localhost#test这些字。这个不要删了。删除除了这个文件之外的其他HOST文件。

3、删除每个盘下目录PROGRAFILE\3839在线小游戏\3839.dll文件。

4、在注册表中(开场--运行输入regedit)搜索276999E8-02F7-4a55-ACFD-1F2E94402671和276999E8-02F7-4a55-ACFD-1F2E94402671还有{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A，将搜索出来的值项全部删除。这都是searchsite_pg/3839恶意插件的。

5、开场--运行输入msconfig然后点里面的一个启动，在里面把有关3839的内容的勾去掉。

6、还是在我的电脑里搜索一下3839.dll，这是为了保险起见。

OK了。重启下计算机。

17、恶意插件ddoc

相关介绍:ddoc恶意软件和插件都杀不掉，"重启〞和"平安模式〞都无法。表现广告多。速度慢等。

去除方法：

1、用regworkshop搜索注册表关键字是"a64e86”,将搜索到的结果全部用冰刃icesword删除掉,

2、HKEY_CLASSES_ROOT\clsid

还有在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\E*t\Stats

和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\E*plorer\BrowserHelperObjects

这几个目录下的值项全部用以上两个软件来删除.

3、清理ddoc成功,重新启动后看还有没有ddoc.

18、UUSEE病毒

相关介绍：

自动安装，无卸载程序。