来源:IT专家网　作者:阿林

近几年，随着人们对互联网的日益广泛使用，间谍软件也悄然兴起。间谍软件是一种偷偷地安装到用户电脑中的程序，它可以跟踪用户的下载、上网冲浪习惯和击键信息，还可以改变用户计算机的配置。最令人恐惧的是它能够通过所谓的“后门”将用户的机密信息发送给第三方或恶意软件的制造者。在网络时代，间谍软件成为人们无法避免的威胁!
　　而且，间谍软件的作者更是使尽了浑身解数，使得其清除这种恶意代码的工作更是难上加难。因此，本文中涉及到的方法能够清除Windows平台的多数形式的间谍软件，不过对你的机器可能并不适用。如果是这样，笔者建议你请一位专业人士来帮助你解决问题。或者你需要重新格式化硬盘，然后重新安装操作系统、应用程序并复制或创建数据文件等。

　　注意，如果你不正确地执行了某些清除措施，你的电脑有可能变得易于遭受攻击。

　　望闻问切：分析间谍软件

　　你如何知道自己的电脑存在着活动的间谍软件呢?“比正常情况慢”可能是多数人所报告的最常见的症状，不过这种系统性能的下降也可能是由于与间谍软件不相关的因素造成的，如在内存并不充裕的情况下运行太多的应用程序，或者运行了某些在关闭之后不能清理内存的不健全的程序等。

　　你的第一个任务是决定是否存在着间谍软件的相关问题。因此，请下载以下这些工具的最新版本：

　　1. Malicious Software Removal Tool，微软的这款恶意软件清除工具每月都提供更新，因此在使用前一定要下载其最新的版本。

　　2. Microsoft的Windows Defender：微软的Vista系统已经内置了这个软件，不过如果你怀疑自己的电脑感染了间谍软件，可以升级defender来查找最新的威胁。

　　3. Avira Antivir PersonalEdition Classic：这是笔者十分喜欢的一款免费的反病毒程序。如果你没有安装其它的反病毒程序的话，不妨用一下。

　　4. Process Explorer：这是一款免费的进程浏览器，它可以显示两个子窗口，顶部的窗口总是显示当前的活动进程。其重要作用主要在于向用户显示已经打开或加载的句柄和动态链接库。它对于跟踪DLL版本的问题或者处理漏洞是很有用的程序，而且可以洞察windows及其应用程序的工作方式。

　　5. Security Task Manager 即安全任务管理器，它可以显示正在运行程序的详细信息(应用程序、DLL、BHO和服务等)。对于每一个Windows进程来说，它对Windows的任务管理器进行了改进，如它可以显示其文件名和目录路径、安全风险级别、描述、启动时间、图形化的CPU利用率、嵌入的隐藏过程、进程类型等。更为可喜的是，它还可以识别rootkit、服务、BHO和在Windows任务管理器中无法看到的其它进程。

　　因为一些间谍软件程序能够阻止你下载这些工具，或者访问包括这些程序的网站，所以你可以将这些工具下载到你确信“干净”的系统上。然后将安装程序复制到U盘上，然后再在怀疑感染了间谍软件的系统上运行它。

　　在上节中，我们列出了微软提供的两个反间谍程序Malicious Software Removal Tool和Windows Defender，以及Antivir。这三个程序中的任何一个都可以检测及清除计算机上的间谍软件。不过，有时碰巧你遇到了一个新“品种”的间谍软件，而其特征并没有包括在这些间谍软件的特征库内，这时你可能需要调查研究，以便于查找并清除闯入者。

　　首先，检查运行在计算机上的每一个进程，目的是决定其是否为间谍软件。在这里，Windows的任务管理器就不能胜任了。这时正是Process Explorer 和Security Task Manager大展拳脚的好时机。

　　不过，终止系统进程和应用程序有时是有风险的，在某些情况下，如果你错误地关闭了程序，系统会关机或重启，以此作为保护措施。为了保证你的计算机能正常的工作，你应当将重要的文档保存并设置一个系统恢复点。

　　在此我们以Security Task Manager例说明。在双击安装程序完成安装后，在首次运行程序时，它会花费一点时间来扫描你的计算机。

　　值得注意的一点是，Security Task Manager在其初始页面并不列示Windows自有的系统进程(除了explore.exe)。如果你想看到这些内容，可以单击工具栏上的“Windows 进程”按钮。值得注意的是，一个程序的优先级越高，它就越可疑。

　　如果你单击了某个项目，Security Task Manager会告诉你为什么它将其定为这个级别。不过，许多合法的程序进行一些正常的活动时，Security Task Manager也会将其视为可疑，因此不要只是想当然地认为评级高的程序或进程就是危险的，但应当将评级作为重点关注的起始点。

　　不过，如果你并不知道一个特定的程序到底起什么作用，或者位于硬盘的什么位置，你可能需要做一些调查。可以到Uniblue Systems的 WinTasks Process Library中查看你的系统中是否存在着危险的间谍软件进程。(其网址是http://www.liutilities.com/products/wintaskspro/processlibrary/security/)

　　当然，你也可以在搜索引擎中查找对某个进程的描述上。有时一些合法的进程也被当作间谍软件，因此一定要确认所找到负面报告的真实性。