看来该键值存在守护程序。笔者使用诺顿出品的“Norton Process Viewer”进程管理软件查看,并没有发现异常进程,重新启动计算机后进入安全模式,进入注册表编辑器中重新尝试删除启动键值,可惜仍然会自动建立。
专杀工具,失败
看来这个插件并没有笔者想象的那么简单,不使用专用软件是不行了。笔者首先启用upiea程序,扫描后报告发现划词搜索的残骸,当尝试卸载时居然提示我“请通过其卸载程序清除”!更换“恶意软件清理助手”程序,点击“开始检测”按钮进行扫描,提示发现了划词搜索,当点击“开始清理”进行卸载时,发现该软件尝试了多次删除的操作,最后却提示“操作失败”!
这期间,Iexplore.exe又出现了报错的问题……。
检查服务列表,可疑
既然启动项键值存在守护程序,那么这个守护程序随系统自启动是肯定的了,但在所有的进程及其模块中都未发现可疑的地方,此时就应该检查一下后台的服务了。
在桌面上右击“我的电脑”,依次选择“管理/服务和应用程序/服务”,使用方向键逐个选择服务列表中的各个名称,并且观察左侧出现的功能描述信息,结果发现一个名为“System”的服务很可疑,双击该服务查看详细信息,如图所示(如图3)。
由图中可以看出,该服务启动了c:\windows\hh1.exe程序,通过搜索找到该程序,查看其属性发现是最近几天才建立的,不可能是系统自带的程序文件,尝试删除时提示正在使用。启动unlocker,发现该文件嵌入了Iexplore.exe进程,直接利用该工具解锁、删除,经过一段时间的运行,笔者发现那个Iexplore的读写出错对话框终于消失了。但重新进入注册表编辑器,删除划词搜索的键值时仍然失败!
- 第1页:一波三折——遭遇“划词搜索”之后(1)
- 第2页:一波三折——遭遇“划词搜索”之后