手工清除超级流氓飘雪

手工清除超级流氓飘雪

飘雪使用了特征的驱动程序隐藏安装技术，因此很难查杀。

飘雪危害及发作症状

飘雪使用的是特征的驱动程序隐藏安装技术，没有采用BHO这种流氓软件常见的安装方式，通过随机生成一个驱动程序，安装驱动程序到”C：\windows\system32\drivers“目录下。并且在程序安装的时候，会检查是否安装了虚拟机（通过检查HKLM\Software\VMware.Inc.\VMware Tools值），如果安装了，直接退出。
电脑中被安装了该软件后，常见的症状是IE主页被修改为”http：//www.piaoxue.com“无法恢复原有主页，并反复弹出广告网页，某些反病毒软件网址被屏蔽了等。

手工清除超级流氓软件飘雪步骤

飘雪在安装过程中生成了”eugnxqcx.sys“和”wllcnlke.sys“或同名的DLL文件。驱动程序加载后，通过生成两个线程附加到system这个系统核心进程上，获取最高权限。这两个进程一直不停地检测注册表（HKLM\SYSTEM\CurrentControlSet\Services\）下自己这个驱动程序的值，如果将其删除就会立马又自动生成。这两个线程虽然看得到，但是没有办法将其取消。用冰刃之类的工具看到，但仍然停止不了线程，各种工具都无法删除流氓软件文件。由于驱动程序是属于Boot Bus Extender组的，在操作系统加载时就会被加载，所以即使在安全模式下也会被加载，所以在安全模式下删除也是无效的。

Step1：
运行autoruns之后，点击菜单“Options”，选择“Verifiy Code Signatures”（验证代码签名）和“Hide Signed Microsoft Entries”（隐藏已签名的微软项）两项。（autoruns需要下载安装）
Step2：
点击“Drivers”选项卡，点击工具栏上的“刷新”按钮，在下面可以看到所有非微软数字签名的驱动程序。其中的“wllcnlke”驱动程序项，虽然写明是微软的，但是没有经过微软的数字签名，明显是假冒的。（流氓也会骗人的）
飘雪驱动程序的特征是8位随机的字母，并且公司是微软公司（Microsoft Coropration），但显示是（Not Verified）。
Step3：
可以用procexp检测找出的驱动程序是否为流氓软件驱动程序，运行“procexp”，在进程列表框中右键点击”system“，在弹出菜单中选择“属性（Properties）”–>”线程（Threads）”命令。在弹出的对话框中，查看最后连续两个名称为8个字母的驱动程序，再跟autoruns中的对一下就知道是哪一个了。
Step4：
安装Unlocker，在“C:\windows\system32\drivers\”目录下，右键点击刚才发现的流氓软件驱动程序文件，在弹出菜单中选择“Unlocker”命令，在弹出的对话框中，会显示system进程占用了该文件。点击“Unlock”按钮，然后点击“Delete”按钮，文件便被删除了。（提示：对于新飘雪变种，可在system32目录下查找同名的.dll文件，用同样的方法删除）
Step5：
删除上面的.sys文件后，重启系统，然后重设IE主页即可。
Step6：
打开注册表编辑器，在[HKLM\SOFTWARE\Microsoft\Internet\Explorer]下建立一个名为“SearchPlugInX”的DWORD值,然后任意输入一个值，这样飘雪就不会安装了。