Qone8绑架浏览器首页的恶意流氓软件的完美卸载与清除
古人常说夜半时分头昏昏脑胀胀容易做错事,这句千古名言肯定是真的。刚刚不小心就被一个惹人厌的流氓恶意软件给黏上了身,他就是业界中鼎鼎大名的浏览器首页绑架强制垃圾广告程序:「Qone8」。
自从好几根手指头数得出来的年月以前,曾上过 FlashGet 假选项真广告的一次当后,再不曾沾上过这类垃圾程序,而这样的记录就在今夜洗掉了。
为了临时需要用到的一套很稀有的无料转档程序,在急忙下载时不小心着了此道,也不清楚是在网页下载时,还是在安装软件时的事儿。总之,Qones8 就这样悄悄地佔据我的 Microsoft IE 与 Google Chrome 这两套浏览器,首页都被绑架到一个恶意网页。
虽然网络上有些系统软件能提供方便的清除程序,不过那得再下载、使用另一套程序,对我的诱惑不大。
检查过系统后,发现 Qone8 可真还善心来着,竟然提供卸载程序(Uninstall)。不啰嗦,直接移除再说。
图一、Windows 8 工具栏快捷选单,快速连结功能表。
接着再点选快速连结功能表中的「程序和功能」选项,以开启图二所示的系统程序管理工具。在图二中可以找到一个名为「qone8 unistaller」的程序,从小写开头的英文字,就能知道他藏的有多低调了。
图二、解除安装或变更程序选单
运行移除命令后,会出现 Qone8 的对话窗口,可在下面图三至图六中看到连续的软件操作。最后,移除工具便会将 Qone8 自系统解除安装。
图三、移除软件前询问验证码(除了Y与N的文字验证外,我还是第一次图形验证 XD)
图四、询问组件移除,通通勾选起来。
图五、软件再次确认你是否要运行移除。
图六、Waiting…
图七、完成移除操作。
图八、Google Chrome 浏览器属性变更。
接下来新产生的「Google Chrome – 内容」窗口就如图九所示,我们从图中可以发现有两个栏位是值得我们关注的,其一是「目标」,其二是「开始位置」,栏位中存放的是 Google Chrome 浏览器的运行档位置,用以快速呼叫 Chrome 或是其他应用程序(IE 浏览器也是采取同样方式)。
唯一不同的是,该浏览器运行档的位置会被 Qone8 变更,形成类似「C:\Program Files\Internet Explorer\iexplore.exe http://start qone8 com/type=sc&ts=85377&from=smt&uid=VEDFOLNIR.com_IS_BEST…」的长字串状态,而这就是被绑架首页的真面目 。
前半段的「C:\Program Files\Internet Explorer\iexplore.exe」是原始的正确呼叫指令,后半段的「http://start qone8 com/type=sc&ts=85377&from=smt&uid=VEDFOLNIR.com_IS_BEST…」则是恶意广告的网址,用以变更 IE 的启动状态。当中甚至包含用户辨识码,我猜测背后有广告联盟的获利模式存在,才有网站或开发者想让广大的网络用户被迫中奖。(广告网址被我修改过才放上来,免得又帮人打广告。)
因此,我们只要将上揭的后半段恶意网址自「目标」与「开始位置」中分别移除掉即可,就能还给浏览器一个乾淨的初始状态。
图九,Google Chrome 浏览器文件属性内容。
卸载(移除)软件步骤:
首先,我们要开启「程序和功能(或称新增移除程序)」介面[1]。 方法可如下图一所示,在 Windows 8 的左下角窗口 Logo 上,按下鼠标右键,开启快速连结功能表。或是通过传统的控制面板呼叫方式达成[2]。
图一、Windows 8 工具栏快捷选单,快速连结功能表。
接着再点选快速连结功能表中的「程序和功能」选项,以开启图二所示的系统程序管理工具。在图二中可以找到一个名为「qone8 unistaller」的程序,从小写开头的英文字,就能知道他藏的有多低调了。
图二、解除安装或变更程序选单
运行移除命令后,会出现 Qone8 的对话窗口,可在下面图三至图六中看到连续的软件操作。最后,移除工具便会将 Qone8 自系统解除安装。
图三、移除软件前询问验证码(除了Y与N的文字验证外,我还是第一次图形验证 XD)
图四、询问组件移除,通通勾选起来。
图五、软件再次确认你是否要运行移除。
图六、Waiting…
图七、完成移除操作。
修正浏览器遭绑架页面
虽然我们已经解除了 Qone8 的安装程序,但是凡走过必留下痕迹,导致有许多垃圾文件与数据变更还是残留在我们的系统内部。像是 Microsoft Internet Explore 浏览器或是 Google Chrome 浏览器,就仍处于被 Qone8 绑走首页页面的状态。 这时候简单的作法是,请参考图八所示,直接在浏览器图标上点选鼠标右键,开启工作表,再在 Google Chrome 软件图标上按压鼠标右键,开启软件功能表,点选内容。
图八、Google Chrome 浏览器属性变更。
接下来新产生的「Google Chrome – 内容」窗口就如图九所示,我们从图中可以发现有两个栏位是值得我们关注的,其一是「目标」,其二是「开始位置」,栏位中存放的是 Google Chrome 浏览器的运行档位置,用以快速呼叫 Chrome 或是其他应用程序(IE 浏览器也是采取同样方式)。
唯一不同的是,该浏览器运行档的位置会被 Qone8 变更,形成类似「C:\Program Files\Internet Explorer\iexplore.exe http://start qone8 com/type=sc&ts=85377&from=smt&uid=VEDFOLNIR.com_IS_BEST…」的长字串状态,而这就是被绑架首页的真面目 。
前半段的「C:\Program Files\Internet Explorer\iexplore.exe」是原始的正确呼叫指令,后半段的「http://start qone8 com/type=sc&ts=85377&from=smt&uid=VEDFOLNIR.com_IS_BEST…」则是恶意广告的网址,用以变更 IE 的启动状态。当中甚至包含用户辨识码,我猜测背后有广告联盟的获利模式存在,才有网站或开发者想让广大的网络用户被迫中奖。(广告网址被我修改过才放上来,免得又帮人打广告。)
因此,我们只要将上揭的后半段恶意网址自「目标」与「开始位置」中分别移除掉即可,就能还给浏览器一个乾淨的初始状态。
图九,Google Chrome 浏览器文件属性内容。
高级的移除技术
在经过上面提到的软件卸载与恶意网址的移除后,我试着用 Windows 提供的强大登陆编辑程序(Regedit)进行分析,发现还是残留一些垃圾信息在系统中。这些垃圾信息对系统稳定度影响不大,可以先不用去管他。 但是如果你非要杀他个乾乾淨淨,我有两点建议可以提供给大家:- 同时按压「Windows 标志键[3]」与「R键」,呼叫「运行」介面,在文字串中输入「Regedit」,呼叫出登录编辑程序。在功能表上点选「编辑」中的「查找」(Ctrl+F快速组合键),搜索「qone8」字串,将所有出现的相关资料夹、机码、字串,通通删除。但是记得在删除前要先确认该字串的目的,我个人建议可以找有一定电脑能力的朋友帮忙。
- 搜索电脑目录下,所有关于 Qone8 字串的资料夹与文件,并移除之。例如我在自己的电脑中,就找到「C:\Users\username\AppData\Roaming\qone8」,直接整个移除「qone8」资料夹即可(AppData 是隐藏资料夹,记得开启显示,或是直接输入对应文件位置)。
内涵福利社官方版
网易阴阳师助手安卓版
Cooliris安卓版
银行风险管理安卓版
姨妈来了官方版
新闻超秘官方版
全能IE修复专家官方版