wenpengqi

好贴，学习了,有机会试一下.............

china.1942

这么优秀的帖子，只应该一个“顶!”字，但是不满十个字不让发帖，只好“再顶”，“再再顶”了。

zhchgao

不错，学习学习。

thedoggie

很牛的办法 我以前用这招对付过一些疑似病毒的文件 哈哈哈

零下5度

对3721和yahoo我同时用了两招来封它：一是改hosts文件。这招很多人都用。另一招是找到它的IP地址然后在本地安全策略中将IP地址完全屏掉。

沉沉暮霭

其实这个办法还可以用来屏蔽广告。

比如如果你用官方版的QQ，把QQ目录里的AD文件夹先清空，再如法炮制，可免除很多广告骚扰。

举一反三，其他一些弹广告的程序，试试把其目录里的AD、ADS什么的文件夹也如此这般……

j_spirit

长知识了!赞一个!不够字?再赞一个!

caten

恩  8错   可惜用不上..........

无边无际

其实我也很想给自己加分，以鼓励大家跟着在这儿写的东西，可自己给自己评分这也太……
想想加不加分无所谓，反正大家心里都已有各自的评分。这篇就当是示范经验手记， 呵呵～

大家在此发帖分享自己的实战经验，我和Aycox一定不会吝啬，多多加分鼓励^^

以下为广告：（广告内容仅作参考）

想在TW论坛里快速提高级别吗，就到“Windows系统使用与交流”区来吧

想在TW论坛里像三月那样“出人头地”么，还是到“ Windows系统使用与交流”区来吧

在这写下你的实战过程，记下你珍贵经验和诀窍，那么你很快就会实现你的梦想！

Aycox

很想给 “ 无边无际 ” 评分，以鼓励和号召大家分享自己的实际心得体会，但为避免有 “ 贿赂 ” 嫌疑，还是算了

希望能在此与大家分享更多的实战经验！好贴有奖！ （PS:就是不知无边无际批准否 ）

Aycox

预防大于修复，但中招了也不必灰心，给大家说点心得。

百度搜霸没用过，可中文上网和3721中过，这类流氓软件一般症状如下：
1，通过自带的卸载无法完全卸载，重启后依然会有；
2，即使删除安装文件夹，重启之后也依然会重建或干脆删除不了；
3，中止进程和清理自启动项目，重启之后还是依然存在。


表面上的确很顽固，但只要找到方法是可以做到卸载干净的：

1，如中文上网是通过系统底层驱动来实现接管 IE 地址栏的，也就是说这类软件除了在安装目录下有文件之外，在系统中安装有其它文件。

2，系统进程只会显示 .exe 程序进程，而加载的模块（.dll 和其它文件）是看不到的；自启动项目也并非只有 .exe 程序，也并非只会在注册表通常的 Runs 等位置出现。

3，这类程序会在 X:\Windows\system32\drivers 下安装 .sys 或在 system32 下安装 .dll 文件，只有真正清除这些才能保证干净卸载，之所以删除安装文件夹和自启动项目后还是会重建，就是因为这些表面看不见程序在作怪。

4，具体 .sys 文件名遗憾没有记下来，但上述说法可以通过某些工具分析出来，如 ProcessExplorer 不仅可以查看进程，而且可以查看每个进程调用了哪些模块，根据路径和文件名即可轻易分辨有哪些东东在偷偷运行，比如卡巴有三个 .sys 文件，QQ 有一个 .sys，中文上网有两个等等。

5，通过 Autoruns 也可以查看可删除一些除了在常规自启动位置存在的项目之外，也可查看和删除这类自加载项目。在中止流氓程序的主进程后，再把这类程序的这些项目清除和硬盘文件删除，就能手工卸载干净。

6，使用工具卸载，Guardio 和 Upiea 等有此功能，如 Guardio 并非是仅仅删除注册表信息，而是反注册上述 .sys 和 .dll，至于效果如何我一般是用上述手工办法，所以不能证明，喜欢傻瓜化操作的可以一试。


PS：我很想以身试毒做一个专题，不过精力不允，我说的方法经过了 3 次实战考验，应该说的也比较清楚了。