远离间谍软件

申请免费试用、咨询电话：400-8352-114

您是否怀疑自己的系统受到了广告软件、间谍软件或者其他恶意软件的感染？现在，就连最有经验的网上冲浪者也发现，自己的系统里面到处是不需要的软件：有的显示弹出式广告，有的改动搜索引擎或者主页，有的导致性能下降，有的甚至引起系统不稳定。

间谍软件可以归为劫持软件、蠕虫、特洛伊木马、广告软件或者病毒式营销程序。无论叫什么，它都不会给用户或者计算机带来好处，只会给编写该软件的公司带来好处和利润。这种软件在计算机上安装后驻留时间越长，编写它的公司赚到的钱就越多。

现在，我们需要做的是把不需要的所有软件清除出去，并采取措施以保证它不会死灰复燃。为了能够让读者了解具体的应对措施，本栏目从国外刊物选编了一组关于清除间谍软件的文章，希望能对读者有所帮助。

● 远离间谍软件 ● 避免重蹈覆辙

面对间谍软件的感染，解决问题的关键是要设法把不需要的所有软件清除出去。

间谍软件是如今计算机用户和管理员面临的最头痛的问题之一。下面的现象正变得屡见不鲜：公司声称其下载程序“里面不含间谍软件”，即使其安装程序会安装另外的不需要的软件。

对于网上冲浪者来说，面对间谍软件的感染，首先需要做的是把所有不需要的软件清除出去。通过下文介绍的步骤，您可以一步一步地实现这一目标。

第一步：备份数据

您在试图清理被众多间谍软件感染的系统时，第一步需要做的是备份重要数据。有些间谍软件会对系统设置大动手脚，因此进行清理工作可能会有麻烦。最佳办法就是，使用Norton Ghost或者Acronis True Image这类程序，对硬盘上的所有数据进行完全备份。至少要备份“我的文档”文件夹里面的文件。Spybot Search & Destroy等一些程序在开始清理之前会进行一些功能有限的备份，不过您自己对数据进行备份是不应该略过的一步。

需要注意的是，您别依赖Windows XP的“系统还原”功能，它允许对系统进行还原——这项功能是把双刃剑。“系统还原”可以让您回到间谍软件安装前的某个时间点。不过，如果您执行了间谍软件清理工作，然后使用“系统还原”，那么最后间谍软件可能又会出现在系统上。

如果您认为间谍软件在您的系统上已驻留了几周，删除所有恢复点可能比较好，因为恢复点也会被感染。有些病毒和间谍软件扫描工具可能会检测到这些被感染的恢复点，但大多数无法清理这些恢复点。

删除所有恢复点是个简单的过程:右击“我的电脑”；点击“属性”，选择“系统还原”标签；给“在所有驱动器上关闭系统还原”方框打上勾，点击“应用”。Windows删除所有恢复点可能需要几秒钟时间。一旦您完成了系统的清理工作，回到该对话框，清除“在所有驱动器上关闭系统还原”复选框。这样就可以启动“系统还原”，不过恢复点处于空白状态。

为了确保将来万一出现问题时，您有良好的起始恢复点，应该创建新的恢复点。您可以点击“开始”－＞“帮助和支持”－＞“使用系统还原撤销对您计算机的更改”。“系统还原”实用程序就会开始运行，为您提供创建新恢复点的选择。

第二步：仔细查找

第一个也是最简单的清理步骤就是进入控制面板里面的“添加/删除程序”，仔细查找一番。这么做有几个原因:首先，这一步在诊断不熟悉的计算机上出现的问题时特别重要。“添加/删除”条目列表会告诉您该计算机在如何使用，并且确认哪些重要程序可能需要备份。

其次，这一步还可以确认常见的间谍软件和病毒载体，譬如LimeWire或者Kazaa——您可能希望让机器远离这些文件共享程序，因为它们会被用来下载危险软件。如果用户首先不改掉让自己陷入麻烦的行为，那么把时间花在清理计算机上是无济于事的。

最后，通过检查“添加/删除程序”列表，您能够找到私下安装的程序，有的是在安装另一个程序过程中安装的，有的是您的用户在点击网络链接或广告时安装的。

以下是您可能会在“添加/删除程序”列表上找到的可安全删除的项目列表。对安装有这些程序的绝大部分的系统而言，它们完全是不速之客。这些程序大部分会显示广告或私自更改浏览器设置;GAIN、Media Access、Media Gateway、My Web Search、MySearch、Search Assistant - My Search、Secure Delivery、Select CashBack、Surf Accuracy、The Best Offers、WebRebates、Web Savings from eBates、WhenU Save、YourSiteBar和Zango等。

这类程序有些被删除后，需要重新启动才能够完全清除。如果卸载程序问您要不要重新启动，回答“不要”，继续删除“添加/删除程序”列表上的其他程序，最后再重新启动。

对于确定“添加/删除程序”列表上的某个程序要不要清除，Google是个有用的工具。用Google搜索一下某条目即某程序的名字，通常会得到一些有用信息。如果您从“任务管理器”知道属于软件一部分的某个运行程序的名字，就可以在PC Pitstop的已知软件数据库（http://www.pcpitstop.com/spycheck/known.asp）当中进行查找。如果您对某程序要不要清除有什么怀疑，暂时不要删除。毕竟以后还是有机会可以清除的。

第三步：选择防间谍软件程序

如果系统被广告软件感染的情况并不严重，往往可以通过“添加/删除程序”来清理。如果感染情况比较严重，最好还是采用防间谍软件程序。这类程序可以彻底清理及删除大部分恶意软件，许多程序还有助于防止系统再度感染。

不过在考虑购买防间谍软件程序之前，不妨先试试网上现有的一款或者多款免费程序。可供选择的三个非常好的程序是Lavasoft公司的Ad-Aware SE Personal、Patrick Kolla的Spybot Search & Destroy以及Microsoft Windows AntiSpyware。因为它们都是免费的，您最好都试用一下。微软的这款产品是β测试版（已测试了一年多），不过性能稳定、效果良好。

许多防病毒和防火墙厂商也加入了防间谍软件活动的行列，其中包括McAfee、赛门铁克和冠群。不过，防间谍软件程序往往不是其基本产品系列的一部分，您可能需要升级到产品套件或者其他捆绑软件才行。如果您已经有了这样一家厂商的产品，现在想购买侧重于防间谍软件的保护功能，该公司相应的防间谍软件产品也许可以提供与现有安全软件最佳的兼容性。

应该注意的是，选择防间谍软件程序本身具有风险。网上销售的许多程序效果并不好，它们只是通过弹出式广告和Google Adword大肆炒作的东西。有些程序甚至采用讹诈手段来销售：它们先感染系统，然后把您引到某个网站，让您购买它们的间谍软件清理产品。

教育用户避免上这种手段的当是个好办法。如果您面临可能假冒的防间谍软件产品，不妨参阅Eric Howes整理的“恶意/可疑防间谍软件产品及网站”（http://www.spywarewarrior.com/rogue_anti-spyware.htm），可以进行核实。

第四步：运行防间谍软件

各个防间谍软件产品的基本工作方式都一样。运行后，它们会扫描正在运行的进程、文件及注册表，寻找不受欢迎的程序和设置。一旦扫描完成，它们就会报告发现结果，让您有机会执行清理工作。您还有机会在进行清理之前改动它们建议的内容，或者能够选择是永久性删除还是仅仅隔离文件，以防以后还要用到文件。

在使用这种工具时一定要谨慎——如果对已被确认为间谍软件的某个文件或者进程有所怀疑，不要立即删除。记住，以后您还可以再进行一次扫描及删除。

其实，每个防间谍软件工具确定某程序是否不需要的能力及标准略有不同，这是如果您觉得有问题就要使用多种扫描工具的另一个原因。譬如说，我在自己的系统上运行了几款防间谍软件程序后，Spybot和Ad-Aware都没有检测到180Solutions公司的Zango的一些残存部分，Microsoft Antispyware却能检测到。不过，Spybot是三款程序当中惟一注意到Windows安全中心里面的防病毒通知功能已被关闭的程序。

一旦您的系统处于良好的工作状态，一定要回过头去，重新启用“系统还原”功能，如果您之前关闭了的话。还要创建新的恢复点。这样万一间谍软件再度侵扰您的系统，可以提供一定的保障。

顺便说一下Cookie。大多数间谍软件扫描工具和清理工具都能报告跟踪cookie（tracking cookie），这种Cookie有时叫做第三方Cookie。这种Cookie通常与网站上显示的广告有关，某网站上显示的广告实际上是由另一个网站投放的。大多数大型广告网络如DoubleClick和TribalFusion都使用Cookie，主要目的是为了能查明显示的是哪些广告, 以便自己不会向同一个用户多次显示同一个广告。跟踪Cookie方面的隐私问题在于，它们可能会被用来跟踪您的计算机在访问多个网站时的行踪，如果这些网站都使用相同的广告网络。

归根到底，第三方Cookie对您没有任何好处，所以您最好还是删除它们。它们其实不是间谍软件、甚至不是软件，但对您并没有好处，所以没理由让它们继续存在。几乎只要您上网，除非您把浏览器设置成拒绝所有Cookie（这会严重限制浏览功能），否则您浏览了几个网站后，也会积累下五六个跟踪Cookie。如果间谍软件扫描检测到它们，尽管删除就行。

第五步：寻找其他途径

如果几款防间谍软件工具解决不了问题，系统可能遇到了严重问题，需要有经验的间谍软件查找人员才能够解决。当然，也有可能是间谍软件扫描工具报告的结果让人费解。如果您在使用商用防间谍软件产品，最好通过技术支持热线联系厂商。

赛门铁克、McAfee和冠群等各大防间谍软件厂商还在各自网站上提供有关特定威胁的详细信息。如果您偏爱某家厂商，只要使用该厂商网站的数据库即可研究某恶意软件。您还可以用Google进行站内搜索（譬如输入：gmt.exe site:symantec.com）。最后，如果您想迅速找到尽可能多的信息，只要往Google里面输入某个可疑的可执行文件的名字即可。返回的头一两页搜索结果当中通常会有主要网站的结果。

另外，也可以通过网上的几个论坛获得间谍软件清理方面的免费帮助。两个很好的求助地方是Spyware Warrior和PC Pitstop两个论坛。如果您发现您的问题没有被人问过，可以发贴子救助，不过建议要解释清楚已经试过的办法以及仍然出现的问题。