瑞星卡卡安全论坛

3.阻止“淘宝”网弹出窗口的办法
这是反浏览器劫持论坛endurer版主整理的办法，如需要的朋友可以看一下：
http://forum.ikaka.com/topic.asp?board=67&artid=4875283

IE用户的免疫方法

　　如果系统是win 2000/XP/2003，请在“开始”→“运行”中输入：
　　notepad.exe %windir%\system32\drivers\etc\hosts

　　如果系统是win 98/me，请在“开始”→“运行”中输入：
　　notepad.exe %windir%\hosts

　　如果系统提示：
　　找不到文件hosts.txt是不是创建新的文件？请选择否

　　在最后添加如下内容：

　　#kill taobao
　　0.0.0.0www.taobao.com
　　0.0.0.0 page.taobao.com
　　0.0.0.0 search.taobao.com
　　0.0.0.0 taobao.com
　　0.0.0.0www.unionsky.cn#掏宝网广告代理
　　0.0.0.0www.allyes.com#掏宝网广告代理


　　保存后，重启计算机即可。(XP/2003系统不需重启)

　　如果在前面操作遇到提示找不到文件hosts.txt，请按照以下步骤保存：
　　用菜单：文件-->另存为
　　在“文件另存为”对话框中，把文件类型改为“所有文件(*.*)”
　　再输入文件名:

　　如果系统是win 2000/XP/2003，请输入（建议复制粘贴）：
　　 %windir%\system32\drivers\etc\hosts

　　如果系统是win 98/me，请输入（建议复制粘贴）：
　　%windir%\hosts

　　点[确定]按钮。

　　用My IE2、GreenBrowser、Maxthon屏蔽办法：

　　启动窗口过滤、网页内容过滤
　　把下列网页加入弹出窗口过滤、网页内容过滤列表：
　　http://*.unionsky.cn/*
　　http://*.unionsky.*/*.*
http://www.unionsky.cn/script/*
http://www.unionsky.cn/script/*.*
http://adtaobao.allyes.com/*

4.关于恶意网站的问题，请参考这篇帖子
http://forum.ikaka.com/topic.asp?board=67&artid=5678780

5.完全屏蔽网站自动安装"3721"的方法

1.确认计算机内有HOSTS文件
2.下载本贴下的附件:
3.替换您本机内容原HOSTS内容

注:在一般情况下:
在windows 98里，HOSTS文件的文件路径为: %SystemRoot%
在windows 2000/xp里，HOSTS文件的文件路径为: %SystemRoot%\system32\drivers\etc

详细:http://forum.ikaka.com/topic.asp?board=67&artid=5678780

附件: 2374832005715230103.zip

6.好棒小秘书卸载试试看用这个软件http://www4.skycn.com/soft/22993.html
关于hap.dll和winup.exe及henbang的解决方法!
Henbang 是很棒公司出品的一个软件“很棒小秘书”，随系统自动启动。

删除方法：
双击"c:\windows\system32"下的uninstall.exe 或者henbangkiller.exe 即可，
然后删除这两个文件和C:\Program Files\henbang文件夹。

如果你是xp sp2版，可以按照以下方法关闭它：
1：首先打开ie，然后选择“internet选项”

2：选择“程序”页，点击“管理加载项”

3：选中“UrlMonitor Class”，选择禁用此项

4：OK了

最好运行msconfig将winup.exe的加载项去掉

7.木马 winup.exe 彻底删除方法
0、先检查你是否遭遇 winup.exe 。用windows优化大师或在注册表中查找
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersionRun 下是否有 winup键。

1、先用木马克星和瑞星杀一遍。

2、让木马克星和瑞星在全面监控状态, 用文件查找，删除winhtp.dll
hap.dll xpieknl.dll winup.exe (用关键字查找时，最好把相似的文件都删掉）。

3、清除注册表，用全面搜索彻底清除。

4、重启系统，用 0步 检查是否成功。

提供的方法：(可以的最好用此法)

winup.exe 这是什么东西? Google一下, 这可好, 原来是个象3721一样
得烂东西, 不知道什么时候跑到我机器里了, 好! 废了他!

1、 在IE的工具里点"管理加载项",禁用Downloadvalue Class , EyeOnIe Class ,
URLMonitor Class

2 、在system32中运行一下henbangkiller.exe 再删除 winhtp.dll hap.dll
xpieknl.dll winup.exe

3 、在注册表中删除
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的 winup 键
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的 updata键

在msconfig里面还有一个可疑的东西：msstart.exe 在任务管理器里干掉msstart的进程, 然后再到system32目录下delete掉msstart.exe这个文件

用超级兔子也可以搞定的。" target="_blank">7.木马 winup.exe 彻底删除方法
0、先检查你是否遭遇 winup.exe 。用windows优化大师或在注册表中查找
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersionRun 下是否有 winup键。

1、先用木马克星和瑞星杀一遍。

2、让木马克星和瑞星在全面监控状态, 用文件查找，删除winhtp.dll
hap.dll xpieknl.dll winup.exe (用关键字查找时，最好把相似的文件都删掉）。

3、清除注册表，用全面搜索彻底清除。

4、重启系统，用 0步 检查是否成功。

提供的方法：(可以的最好用此法)

winup.exe 这是什么东西? Google一下, 这可好, 原来是个象3721一样
得烂东西, 不知道什么时候跑到我机器里了, 好! 废了他!

1、 在IE的工具里点"管理加载项",禁用Downloadvalue Class , EyeOnIe Class ,
URLMonitor Class

2 、在system32中运行一下henbangkiller.exe 再删除 winhtp.dll hap.dll
xpieknl.dll winup.exe

3 、在注册表中删除
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的 winup 键
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的 updata键

在msconfig里面还有一个可疑的东西：msstart.exe 在任务管理器里干掉msstart的进程, 然后再到system32目录下delete掉msstart.exe这个文件

用超级兔子也可以搞定的。

8.中文通用网址的卸载
在安全模式下，首先。我们把C:\Program Files目录下的CNNIC目录给删除。然后打开注册表编辑器。在运行-〉regedit.
在安全模式下就可以删除这两个键值了。
在安全模式下把Run目录下的CdnCtr和ExFilter这两个键值删除。然后对注册表进行查找。查找一切和CNNIC、cdnup.exe字符有关的键值和目录。统统删除。OK。现在再重新启动机器。烦人的CNNIC终于离我而去了。不过CNNIC这样被删除之后。好像会导致不能在IE窗口中输入中文。不知道有没有其它人碰到这种情况。还有一个方法可以避免下次再次运行这个烦人的插件。写一个文本文件。内容如下。
REGEDIT4
#9A578C98-3C2F-4630-890B-FC04196EF420 /CNNIC
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9A578C98-3C2F-4630-890B-FC04196EF420}]
"Compatibility Flags"=dword:00000400
保存为.reg的文件。然后双击执行此文件即可。下次就不会再IE中应用此控件了。好了。预祝大家好运。和不法商贩斗争到底。还我们洁净的一片网。。

很及时，正需要呢，谢谢

好啊，谢谢！网上这么多人叫不好，可给出的卸载方法很难懂，这下明白了些，有机会试试。

9.屏蔽插件自动安装的一种办法
许多朋友对自动弹出的要求安装功能插件（如3721、CNNIC、BAIDU等）的网页头痛不已，我们只有选择是或否，别无他法，那能不能将通过某种设置让我们在浏览网页时远离这些恼人的提示呢，其实通过禁止相应的ACTIVEX调用可以实现对3721、CNNIC、BAIDU等的封锁，只要知道相应的CLSID，你就可以在IE中屏蔽掉任何ActiveX调用，当然也就可以用来屏蔽这些插件的自动安装。用本文介绍的方法不用更改hosts文件，也不用更改安全证书，不会弹出提示窗口，不会影响正常上网。

　　用记事本写一个REG文件，取名为“no-plugs.reg”，写上下面的代码：

　　REGEDIT5

　　#B83FC273-3522-4CC6-92EC-75CC86678DA4 3721's CLSID

　　#9A578C98-3C2F-4630-890B-FC04196EF420 CNNIC's CLSID

　　#CF051549-EDE1-40F5-B440-BCD646CF2C25 POPO's CLSID

　　#4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686 中文邮's CLSID

　　#BC207F7D-3E63-4ACA-99B5-FB5F8428200C Baidu's CLSID

　　#9BBC1154-218D-453C-97F6-A06582224D81 Baidu's CLSID

　　#4B106874-DD36-11D0-8B44-00A024DD9EFF Adodb.Stream 2.5's CLSID

　　#00000566-0000-0010-8000-00AA006D2EA4 Adodb.Stream 2.7's CLSID

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet　ExplorerActiveX Compatibility\]

　　"Compatibility Flags"=dword:00000400

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility\]

　　"Compatibility Flags"=dword:00000400

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility\]

　　"Compatibility Flags"=dword:00000400

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility\]

　　"Compatibility Flags"=dword:00000400

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility\]

　　"Compatibility Flags"=dword:00000400

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility\]

　　"Compatibility Flags"=dword:00000400

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility\]

　　"Compatibility Flags"=dword:00000400

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility\]

　　"Compatibility Flags"=dword:00000400

　　保存后双击就可以运行了，以上操作在Windows 2000/XP下测试通过。

　　小提示：其他的功能插件可以通过查看网页源文件的方法找到相应的CLSID。另外在Windows 98系统下，将注册表文件中的“REGEDIT5”改为“REGEDIT4”就可以了。

10.阻止流氓程序安装的办法
用TPF2005把C:\windows\文件夹设成“只读”（只对几个必要的程序开放写入）。下载DUDU加速器的安装程序，运行。结果，根本无法安装。流氓也傻眼了！不过，打补丁或安装其它软件时，自己可以先把TPF2005的WINDOWS SECURITY关掉，操作完后再打开。什么也不耽误。


附件: 2374832005717105555.jpg

11.有关”浏览器“被劫持的问题，请看这里
http://forum.ikaka.com/list.asp?board=67

全是高招，学习了。

全是高招，学习了。

12.另一种删除3721的方法
详见baohe版主的这篇帖子http://forum.ikaka.com/topic.asp?board=36&artid=6762935

3721真是厉害，不过我曾经用它的ie修复还是觉得挺好的^_^

引用:

【海生的贴子】10.阻止流氓程序安装的办法 用TPF2005把C:\windows\文件夹设成“只读”（只对几个必要的程序开放写入）。下载DUDU加速器的安装程序，运行。结果，根本无法安装。流氓也傻眼了！不过，打补丁或安装其它软件时，自己可以先把TPF2005的WINDOWS SECURITY关掉，操作完后再打开。什么也不耽误。 ...........................

TPF2005在哪儿下载?

呵呵,反浏览器版应该和这版合并..

13.一搜的卸载方法
  单击一搜徽标打开下拉菜单。
选择帮助 > 卸载选项。

如果无法访问工具条上的 一搜 徽标，也可以使用 Windows 控制面板中的添加/删除程序卸载工具条：

单击 Windows“开始”按钮，然后选择设置。
打开控制面板文件夹，然后双击添加/删除程序条目。
浏览程序列表，选取“一搜工具条”。
单击添加/删除按钮。

好

请问如果跟贴后果会是怎样???

14 “网络猪”与“划词搜索”的卸载

　　网络猪与划词搜索虽然可以通过添加\删除软件进行卸载，但是总卸载不干净，必须要手动删除安装目录。为此你首先需要卸载掉网络猪与划词搜索；然后单击“开始”－“运行”，输入“msconfig”，回车后在弹出的窗口中选择“启动”标签，在启动中找到“SEARCH.EXE”，去除前边的勾选；按“Ctrl+Shift+ESC”打开“任务管理器”，在进程中结束“SEARCH.EXE”；单击“开始”－“运行”，输入“regedit”，打开注册表，搜索“SEARCH.EXE”的项值，删除相关的项。最后删除整个安装目录。

有没有百度的呀

好哦，谢谢

学习了，谢谢

有关博采网摘等流氓软件的卸载可以去这里下载一个清理工具。
http://lamborghini.88448.com/bbstopic.asp?id=1414

IS_ISC.DLL的解决办法：

1.系统总会有deskadtop.com的广告在桌面右下角弹出来
2.打开电脑时，电脑就显示一个RUNDLL的窗口，显示：加载C:\WINDOWS\Downlo~1\_IS_0518\_IS_ISC.DLL时出错，找不到指定的模块
等问题的解决办法：
解决办法：
1、F8进入安全模式；
在C:\windows\Downloaded Program Files 下相关的恶意文件及文件夹。
关键招式：
    本文件夹下有许多隐藏文件在正常途径下看不到，你可以在此目录下新建一个WINRAR文档，在winrar管理界面中删除相关项。（即通过一个压缩文件去看Downloaded Program Files 下的文档，这一点十分重要！不然真的看不到）

2.直接修改%Windows%\Downloaded Program Files\_IS_0518\_IS_ISC.dll文件名（随便改就行）

3.操作后重新启动计算机

4.重启后会出现"advapi32"启动项错误的提示，说找不到文件之类的对话框，点“确认”即可，这样其实也就说明那些_IS_*.dll文件没有被加载，我们可以直接删除掉它们了！（如果没弹出提示，就说明没有改好，请重复上一步）

再进Downloaded Program Files里面，把东西都删了。
一般名字里带ISC，adv，0518，{C85CFBCF-A5DE-11D9-9651-0003FF7E92CE}……的,都与chaxun.com有关，删，删，使劲删！
C:\_IS_*.*
%ProgramFiles%\ISC\
%Windows%\backup\
%Windows%\Downloaded Program Files\_IS_0518\
%System%\msuuid_.dll
%System%\msvendr_.dll
（碰到了就删除）

5、删除c:\windows\backup\下的所有文件（病毒代码自己产生的，没有前一部的操作，是不可以删除，老是删除了又自动恢复）
6、删除注册表中的恶意项，查找关键字“chaxun.com”“_IS_”“advapi32”把有关键值及键值项删除，
方法是  点开始=〉输入 =>regedit
把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下"advapi32"="RUNDLL32 C:\WINDOWS\Downlo~1\_IS_0518\_IS_ISC.dll,isc"的启动项删除
（如果对注册表不太熟悉，就用Hijackthis，运行HijackThis，修复以下项：
04启动项HKLM\\RUN:[advabi32]rundll32 c:\windows\downlo~1\_is_isc.dll.isc.也可以）
7、重新启动。

还有一种类似的办法：
1、重启进入安全模式（启动时按F8）
2、删除以下文件
    C:\Windows\backup\*.*
    C:\WINDOWS\Downloaded Program Files里边的_IS_ISC.DLL、、_IS_WEBH.dll和ddtkillw.ocx
3、清除所有cookies，internet临时文件
4.删除以下5个文件：
c:\ddtkillw.ocx
_IS_WEBH.dll
_IS_ISC.DLL
ISC.dll
ISC.exe
ISC.ico
MuSearch.dll
Music.dll
5.在注册表中搜索assistant，凡是含有search assistant的注册项删除
6.删除C:\WINDOWS\srchasst目录下所有文件
7.删除注册表中HLM\software\microsoft\windows\currentversion\run下RUNDLL项
8.重新启动

或者这样也可以：
1.重启进入安全模式（启动时按F8）

2.删除下列文件
1) windows\backup\*.*
2) windows\prefetch\advapi32*.*    avicap32*.*
3) window\system32\MyIMLite\*.*
4) windows\downloaded program files\0319\*.*
5) windows\downloaded program files\_IS_ISC.DLL
6) windows\downloaded program files\_IS_0518 

这个目录在windows下搜索不到，也看不到（开了显示隐藏），
    可采用以下方法搞定：
        开始－－运行,输入cmd，确定
        cd d:回车
        del c:\advapi32.exe/s/a 回车
        del c:\avicap32.exe/s/a 回车
        del c:\MuSearch.dll/s/a 回车
5)ADVAPI.DLL2以及ADVCCAPI.DLL

3.删除注册表中与advapi32.exe　avicap32.exe　MuSearch.dll相关的键值
　步骤如下：
开始－－运行,键入regedit,确定
在菜单栏点击编辑－－查找,分别键入advapi32.exe  avicap32.exe  MuSearch.dll进行查找
找到后全部清除掉
       
4. 开始－－运行, 键入msconfig,确定
  修改SYSTEM.INI，删除 "DRIVERS=ADVAPI.DLL"

5.清除所有cookies,internet临时文件

新浪igame删除方法:

首先修改注册表，关闭名为启动项：nmgamex.dll、csrss.exe，然后删除nmgamex.dll、sinaproc327.exe两个文件，再修改csrss.exe文件为任意一个文件名。从新启动计算机后删除修改的csrss.exe文件。
　　本人计算机为WIN2K操作系统，其动项键值如下：
　　一：启动名称为：nmgamex_autorun 类型：REG_SZ 键值：C:\WINNT\system32\Rundll32.exe NMGameX.dll,LiveProcess/aa
　　二：启动名称为：csrss.exe 类型：REG_SZ 键值：C:\WINNT\csrss.exe

文件所在目录：
csrss.exe c:\winnt\csrss.exe; 正确的系统文件目录为：c:\winnt\system32\csrss.exe;
cctv5.exe c:\cctv5.exe;
sinaproc327.exe c:\winnt\system32\sinaproc327.exe;
NMWizardA14.exe c:\winnt\NMWizardA14.exe
nmgamex.dll c:\winnt\system32\nmgamex.dll