清除流氓软件,很多时候就会发觉文件没有办法删除,平常的情况下也会遇到,删除文件的时候会提示“文件正在被使用”,或者提示删除了,但是一刷新,它又在那里了。而有一些文件根本就看不见,无论是通过资源管理器还是其它方式都看不到,更就没有办法删除了。下面我们就来探讨一下这个问题。
首先分析一下,在windows下,一个正常共享打开或被使用的文件,是不能被删除的。当删除的时候,会提示“无法删除,文件正在被使用”。常见的就是流氓软件的各种.dll或者.exe进程或者.sys驱动文件。所以删除文件之前,需要解除使用这个文件的句柄或者加载它的.exe进程。
下面就介绍今天的主角上场:unlocker和icesword,看看它们都有什么绝招:
一、unlocker
下载地址:http://umipku.googlepages.com/Unlocker.rar 44K
安 装: 解开到一个目录,然后运行一下里面那个install.bat便可。
介 绍: 这是一个非常优秀、小巧,功能强大的文件删除工具。大部分正常情况下都可以把.dll, exe等文件删除掉。它可以关掉使用文件的句柄(正常文件),杀掉进程(.dll),Unload DLL,.还有一点,它是免费的。
使 用: 安装完了之后,以后要使用的时候,在需要删除的文件或者目录上点右键,在菜单中选择“Unlocker”。这时如果它检测到文件/目录被其它进程锁了,就会有一个列表的窗口出来,显示当前锁定或使用这个文件/目录的进程。那个Action动作选择“删除”,再点一下那个“Unlock All”就可以了。是不是很简单?
如果这个文件被一些核心进程占用或者保护,它会提示要等下一次启动的时候再删除,这时点确定就可以了。大多数情况下,是不需要重启的。
二、IceSword (冰刀)
此软件在“清除流氓软件的第一利器(IceSword)”(http://hi.baidu.com/nslog/blog/item/14bc35dbac337866d1164e21.html)已经介绍得非常清楚了。这里主要强调它的一个功能:文件操作功能。
现在很多流氓软件都是通过内核来加载,象CNNIC中文上网的cdnprot.sys,3721的CnsMinKP.sys,它加载后,为了保证软件不被删除,就监视所有的文件、注册表删除操作,如果发现是删除这些文件,就直接返回一个true,这样Windows以为已经删除了,但是文件还在那里。
再有一些做得更绝,它会把文件隐藏起来。这个隐藏是基于内核级的,不是通过打开资源管理器里面的“显示隐藏文件”选项就能看到的。象TotalCommand有时也发现不了。针对这些文件,Unlocker也是无药可施的。即使是Windows提供的重启删除机制,也被这些流氓软件给破了。
好在“魔高一尺,道高一丈”。现在有IceSword这个利器,目前是这类软件中最有效的,也是我所知唯一能删除各种驱动保护文件的,而不需要重启操作系统或者装一个DOS之类多操作系统来完成。
使用方法: 很简单,通过它的“文件”,然后象资源管理器一样,找到相应的文件,然后点右键——删除便可。如果是.exe的文件本身在运行,要先通过它的进程管理器来杀掉,然后再删除。
删除顽固文件千千万,拥有unlocker和icesword,别无所求!其它类似软件象CopyLock, KillBox等都试过,但都有这样那样的缺点。Unlocker和IceSword分工协作,可以完成目前所知的所有流氓软件清除工作。我在以后写的所有清除流氓软件的文件,都会使用到这两个软件。
用一下,很简单,流氓不可怕!如果有删不掉的文件或者其它方法,请留言。
(本文主要针对流氓软件的特征,并没有太多考虑如Windows系统漏洞等特殊情况。)
posted on 2007-02-03 20:17
dragon 阅读(108)
评论(0) 编辑 收藏 所属分类:
流氓软件通用解决方法