[惊天大发现]顽固文件删除终极武器_网络安全日志,还我蓝色天空(http://www.nslog.cn)

查看文章

[惊天大发现]顽固文件删除终极武器

2006-10-02 00:53

作者：网络安全日志( www.nslog.cn )
日期：2006/10/01 （转载请保留此申明)

原谅我用这个比较煽情的题目，但的确它是目前为止，所有删除流氓软件的文件最终极的解决手段，相比之下，那些Unlocker，IceSword，KillBox都可以退休了。对于流氓软件采取越来越多的保护防删除手段，那些删除工具总显得力不从心。

    今天帮朋友清除软件的时候，发觉现在的病毒又在做着不同的升级，手段也越来越高明，
有一个pnp2500.sys驱动，竟然连冰刀（IceSword）都删除不掉，而就在不久前，冰刀还是我力荐的能删除驱动保护文件的唯一工具。看来前不久有人写出的专门来欺骗冰刀的文章已经有人应用了。流氓软件的开发者可真是用心良苦！我曾经发文：
    《如何删除顽固文件之流氓软件篇》
     http://hi.baidu.com/nslog/blog/item/c25b1ddfce78a11362279868.html
不过今天用起来，发觉还是捉襟见肘，感觉不够用。

正郁闷之时，在朋友的机器上突然发觉有一个工具特别好用：金山反间谍2007，其它功能不做介绍，不是要给它做宣传，主要介绍它里面有一个功能：“文件粉碎器”。

金山官方对于它的说明是：
大多数情况下，Windows自带的文件删除并不彻底，文件被删除后，他人仍然可以通过一些磁盘工具进行恢复。所以对于一些想彻底删除的文件，可以使用文件粉碎器进行彻底删除。新版本的文件粉碎器采用了基于磁盘物理扇区的粉碎机制，能够彻底清除文件内容、文件名以及分配表等所有文件信息，保证了被粉碎文件无法恢复。同时符合美国国防部标准中对机密文件的粉碎处理方式。

试验表明，它独有的方式正好可以突破目前所有的流氓软件的自我保护功能。

经过我的试验，Windows系统下的所有文件，无论是正在运行的程序，正在被使用的DLL，正在被打开的文件，还是采取自我保护的驱动，全部都可以被轻易地删除！从此删除文件，再也无难事！

用法： 运行金山反间谍2007——文件粉碎器——添加文件或者文件夹——彻底删除——OK，就这么简单！

软件下载：用户可以到金山网站下载最新的金山毒霸2007，或者从这里下载绿色的单独版本：
http://www.onegreen.net/Soft_Show.asp?SoftID=1151 (绿色解压缩版，无需安装、注册)

                10/8号发现另外一个软件也可以有类似功能，单个绿色，100多K：
                http://www.onegreen.net/Soft_Show.asp?SoftID=525 (PowerRmv)
                ——经我的试用，功能方面比金山的差一点，当作备用吧。

试验过程：在机上上同时安装了CNNIC，彩信通，SPOOLSV、百狗（Baigoo）、3721，百度等多个流氓软件，然后在不关闭任何进程以及使用任何工具的情况下，把所有流氓软件相关的目录、驱动文件、可执行文件，通过文件粉碎器，一次性全部删除！感觉象个奇迹，那种感觉无与伦比！

有了它，删除文件，从此不用愁！如果你有删不掉的文件，请指出来，谢谢！

本文首发于网络安全日志（www.nslog.cn），任何转载必须保留签名信息，谢谢！

类别：清除方法 | 添加到搜藏 | 浏览() | 评论 (54)

最近读者：

网友评论：

2006-10-02 09:18 | 回复

3721要删除的文件和目录为： c:\program files\3721 c:\windows\cnsinfo.dat c:\windows\cns.dat c:\windows\cns.exe c:\windows\cns.dll c:\windows\CnsMinKP.sys c:\windows\Downloaded Program Files\cns*.* c:\windows\Downloaded Program Files\*.ico c:\windows\Downloaded Program Files\3721 c:\windows\Downloaded Program Files\keepmain*.* c:\windows\Downloaded Program Files\zsmod.dll CNNIC要删除的文件目录为： c:\windows\drivers\cdnprot.sys c:\program files\cnnic c:\windows\cdn.dll %temp%\setup\cdn*.* ...

2006-10-02 10:45 | 回复

感谢nslogger的无私奉献,这篇文章我收了,谢谢

2006-10-02 14:53 | 回复

我们的电脑终于起死回生了. 非常感谢你.

2006-10-05 01:20 | 回复

有一些网友反应有一些文件删除不掉，总结一下：有一些是系统文件，如System Volume Information，这个是系统还原的，删除了，马上会自动建立。另外一种是驱动保护的.dll这类文件，删除后马上自动生成。所以先要把相关的驱动删掉，然后就可以清除了。

2006-10-06 15:12 | 回复

搞定，谢谢

2006-10-06 21:27 | 回复

刚刚的确发现有两个.dll文件不能删除的,分别为 system32\system.dll system32\jhlog1.dll, 后来通过move命令把这两个文件移位,然后改名完成删除.

2006-10-06 21:36 | 回复

老大，看了你的介绍真是太有心得了，跪谢！尤其是你介绍的冰刀我发现了另一个用处，很爽！但你说的文件粉碎器好像不灵哟！情况是这样的，对了是XP系统，我先用管理员的用户登陆，建立文件夹，在该文件夹安全设置里除了保留管理员一个用户外其他全部删除，然后注销后用普通用户登陆，正常情况下那个文件夹是无法被删除的，我用你说的文件粉碎器试验，添加文件夹，删除，没有错误显示，退出文件粉碎器，再看，哈哈，那文件夹还在。改用冰刀，ok？真的很ok，那文件夹真的被删除了，狂爽！更爽的是，通过冰刀还能查看那文件夹的内容，还可以复制出来，实在是用处极大！遗憾的是文件粉碎器没能发挥出作用。是我做错了吗？还是我用错了地方？请大大指教！

2006-10-06 21:44 | 回复

呵呵...谢谢你的试验,真是有心人. 你描述的情况应该是正确的。冰刀跟文件粉碎器的原理不一样：冰刀是重建系统核心，可以饶过所有的NTFS安全以及其它保护。文件粉碎器是直接写磁盘的文件空间，把文件内容改写，所以还是需要通过NTFS的权限检查的。希望冰刀可以增加这个功能，那就更好了。关于这篇文章，我当时发现也是非常激动，所以写了下来。但是试验范围有限，不能确保它在所有的地方都100%有效，毕竟还有一定的限制。但对付目前的流氓软件，应该是比较好的办法之一。也感谢你做的测试，希望以后多光顾交流！

2006-10-07 09:37 | 回复

最好能把这个功能单独提取出来做成绿色版不然要装一个金山XXX 还是很不爽的。

2006-10-07 18:41 | 回复

上面我给出URL的已经是一个绿色版的，解开就可以用，不需要安装的。因为金山XXX里面的一个功能，除非雷军同意做一个出来，不然外人是不可能把它独立出来的。不过这个想法我也有，这两天我给雷军写个邮件跟他建议一下。

2006-10-07 22:52 | 回复

谢谢大大的回复。unlocker也分用户的，在管理员用户下使用正常，在普通用户下使用会报错，目前还没有能派上它的用场。

2006-10-08 09:26 | 回复

因为Windows系统下的任何操作, 都是要受限于Windows本身的安全管理的, 所以普通用户使用unlocker,很多时候会出错的. 但这个错是本身没有权限导致的,不是unlocker功能达不到. 任何一个软件运行,都有它特定的资源需求(内存,硬盘,操作系统,权限等).

2006-10-08 10:30 | 回复

今天又发现了一个类似的软件，原理应该是类似的，单个文件，绿色：PowerRmv(数据、病毒、木马杀灭天王) http://www.onegreen.net/Soft_Show.asp?SoftID=525 感谢作者给我们提供这么好的软件。

2006-10-08 19:54 | 回复

PowerRmv 果然不错，今天我用上了。

2006-10-10 11:31 | 回复

敬爱的nslogger ：我是一个刚出壳的菜鸟，最近电脑老是查出wshcon32.dll 这个东东，我上网找了一下，他们说的都让我很迷惑，感觉好象这个东东很麻烦，所以我想问问你能不能帮我整一下谢谢~~

2006-10-10 11:51 | 回复

清除流氓软件的确是一个要求比较高的工作，如果你只是一个.dll，可以用上面的工具找到之后，直接删除。给你推荐一个工具： http://www.360safe.com，很多情况下，它可以完成你的要求，比较傻瓜式的。如果有问题，可以加我的MSN或者邮件nslog.cn#gmail.com

2006-10-12 23:17 | 回复

http://piaoxue.com这个网站怎么删?

2006-10-15 16:59 | 回复

你好，我在C:\Documents and Settings\All Users\Application Data\Microsoft\UserData里面发现了一个ie.exe的木马文件，用金山反间谍无法打开，用删除文件夹方式删除该文件夹，但后来发现文件夹还在，怎么也删不掉~~请教还有没有别的方法阿，头痛死了~~谢谢~~

2006-10-15 17:06 | 回复

——有一些软件专门做了防范，所以有可能打不开。你可以把用任务管理器中止相关的进程，然后再试一下。或者到安全模式下试一下。如果还有问题，可以直接联系我。

2006-10-16 01:18 | 回复

谢谢你的文章！看了后很受启发

2006-10-25 20:12 | 回复

webwork 用你说的这个方法不行哟，粉碎根本就不管用，刷新后还是会出现

2006-10-25 22:03 | 回复

回21楼:文件粉碎器只是单纯删除文件.至于有一些程序或者流氓软件,因为它有其它后台服务,删除之后马上又建立.这个时候并不能说文件删除不成功,而是其它的服务又建立了,这个跟文件不能删除还是两个概念. 比如C:\System Volume Information这个目录。清除流氓软件是一个综合过程，必须要把相关的工作综合利用起来才行。

2006-10-31 11:33 | 回复

我有几个文件无法删除,是上次发现流氓软件CNNIC在装时赶紧关机后遗留下来的,在C:\Documents and Settings\dell\Local Settings\Temp\23下的cdn.dll,cdnforie.dll,cdnnins.dll,cdnup四个文件,什么方法都删不掉,请教各位,谢谢

2006-11-01 02:36 | 回复

老大，有个www.2top.com的网站，怎么都搞不定，还得我现在开机就要5分钟，而且就算删了注册表也没用，不知道你有没有什么好的办法？

2006-11-01 02:42 | 回复

今天是这文老大帮我搞电脑的.太谢谢你了..

2006-11-01 09:19 | 回复

回23楼：C:\Documents and Settings\dell\Local Settings\Temp上一个临时目录，可以把里面的东西整个删除的。你可以用这个工具删除这个目录试一下。如果你是直接关电源造成的，有可能是磁盘问题，请先扫描一下磁盘。回24楼：你可能是中了别的流氓软件，推荐使用360去清除一下（www.360safe.com），如果还有问题，可以把诊断报告发到论坛中。

2006-11-17 06:16 | 回复

哈哈~~直接报案~~

2006-11-28 21:56 | 回复

据说金山正在改进他们的文件粉碎器，过两天就会发布新版。就是针对部分文件删不掉的情况。

2006-12-01 13:22 | 回复

兄弟，推荐一个工具：文件删除终结者1.0beta发布 dos级文件删除方式，打造病毒清除新模式无须进入安全模式，即可删除所有病毒文件可以删除Icesword，killBox，金山2007文件粉碎器等无法删除的文件测试地址：http://egomoo.i170.cn/Article_49634

2006-12-01 14:22 | 回复

看一下文字介绍就知道知道是怎么回事了, vfloopy+autorexe.bat+list.txt而已,5分钟就做出来了, 称为"终结者",点言过其实,没有什么技术含量, 而且还不支持NTFS...失望.....

2006-12-13 00:23 | 回复

pnp2500?名字和360的占坑驱动很相似

2006-12-21 10:01 | 回复

http://www.onegreen.net/Soft_Show.asp?SoftID=1151 这个地址有病毒，请检查 c:\docume~1\new\locals~1\temp\csrss.vbs

2006-12-23 00:34 | 回复

我的电脑中毒了，d盘里一个名为system volume lnformation的文件夹，依次打开是restore →rp4→change ，而且删除不掉，用金山毒霸也杀不了。开机速度变慢，请问是什么病毒？怎样才能杀掉？

2006-12-23 10:28 | 回复

system volume lnformation是系统还原所用的目录,你可以关闭系统还来来把这个目录删掉.“我的电脑”——属性——系统还原

2006-12-25 11:57 | 回复

wnso.exe就删不掉

2007-01-01 23:59 | 回复

怎么这么多人认为system volume lnformation目录下的是病毒啊？先弄清楚是不是病毒再说吧

2007-01-19 08:46 | 回复

遗憾的是文件粉碎器没能发挥出作用!!! 我一开始也怀疑金山有这么好的东西？？？实践证明文件粉碎器很遗憾！！！！

2007-02-25 21:06 | 回复

TCSM4.B5I文件如何删除

2007-03-02 16:39 | 回复

我不懂管理员是什么样的概念我上百度搜出来全是怎么建管理员我家电脑只要开机就可以直接进这是为什么呢??

2007-03-15 16:19 | 回复

看到你的咚咚，我觉得你一定是个高手，所以有个问题想请教下了，我的四个盘里都有一个同样的文件夹，Ｃ盘０ＫＢ无法打开无法删除，Ｂ盘大小内容在变可以看但无法删除，Ｅ盘Ｆ盘大小内容在变可以看也可以删除（但是关掉后再进又出现了），我又不想从做系统，我该怎么做才可以安全呢．要是有空的话给个信讲讲，谢谢！

2007-03-15 16:24 | 回复

忘了说下了，我的这个情况好像对电脑的速度没多大影响，卡巴斯基，瑞星，江民，金山也扫描不出来什么，只是自己觉得很不安全．

2007-03-15 23:12 | 回复

临时文件夹有个perflib-perfdata5b4.dat怎么删不了．请帮帮忙！谢谢！

2007-05-21 15:54 | 回复

回45的話, 我也有類比經驗. 最近我的電腦不幸中了毒, 不斷自動替我下載軟件, 如金山毒霸, KK播放器, 等等. 一個perflib perfdatamf 不斷在 c:\document~1\user\locals~1\ 之下生成,我懷疑是木馬生成的. 我嘗試用多種軟件去掃毒, 都不能成功, 我又試過在安全模式下刪除, 再用不同軟件如: spyware doctor, 360safe, norton virus scan, avg anti spy, avg anti virus, 都不能完全消滅一回正常模式 , 又再生成, 現不清楚病毒的根源, 我嘗試過跟置頂的方法做, 但並沒找到 peers.ini 同 wincom32 的機碼. 我應該可以找出病毒的根源, 應該是我網上download 一個exe 檔時所感染的, 我嘗試把七找出來, 給板主看看能否有幫助, 不過此毒很強, 而且感染力很高, 其實我首先中毒的並不是這一台電腦, 我現在中毒的電腦是感染了家中第二台電腦造成的/ http://www.sgyxw.com/Software/Catalog32/138.html 電信下載檔案名稱 : upload20070412035412setup.exe 請大大救我!

2007-05-31 21:23 | 回复

果然是好方法,我之前用了N种方法都不成功,现在一次就成功啦.真的多亏你的帮忙.小弟在此万分感谢!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

2007-07-16 09:28 | 回复

我的IE网址栏里的网址怎么删不掉，怎么回事呀

2007-08-13 13:39 | 回复

谢谢　超级好用　　万分感谢＠！

2007-09-21 14:23 | 回复

你的文章真是太好了

2007-11-06 20:54 | 回复

全部给我用360安全卫士加卡巴斯基互联网安全套装一起使用，就安全提高60％了，实验证明，我这机子用了绝配后可以顶得了2年，真的！信不信由你！

2007-12-10 12:34 | 回复

什么都不说了~~~！！！真是万分感谢你！！我用360都删不了的盗号木马，用了这个工具一下子就删除了！！！世界上还是好人多啊！！！谢谢~~~顶顶顶！！！！！！！！！！

2007-12-28 13:43 | 回复

金山文件粉碎器 2007.2.2.39 天阳提取绿色版 http://bbs.tian6.com/redirect.php?tid=2739&goto=lastpost#lastpost 纯绿色提取，不用安装金山。。。单文件大小960KB，插件版本:2007.2.2.39 程序说明: [1]文件粉碎器插件提取自金山清理专家 2.2 版本 [2]精简文件体积,清除部分无用的文件和资源 [3]单文件执行,绿色无垃圾文件. [4]程序将根据官方文件及时升级.

[首页] 1 [2] [下一页]

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复