所有人都面臨間諜軟件的威脅，特別是普通的網絡用戶。這些網絡用戶總是很快地點擊彈出式對話框，按提示安裝軟件，接受垃圾郵件的饋贈或者瀏覽惡意的網站。

最佳的預防措施就是對最終用戶進行教育。但是，對于大多數人來說，這個事情已經太晚了，間諜軟件已經在Windows工作站中瘋狂地蔓延開了。為了幫助你識別和修復各種類型的間諜軟件的感染，你可以查看一下如下的情況。在做出診斷和介紹三個Windows安全專家講的課程之后，我們還將介紹一些用戶的投訴。你將發現，每一個專家對一個問題都有一個獨特的解決方案。因此，在解決你自己的間諜軟件的問題時，你一定要考慮一下所有這些解決方案。

用戶的問題：

我為300多個用戶提供技術支持。這些用戶擁有家庭或者辦公室的電腦，采用Windows XP或者Windows 2000操作系統。一些用戶報告了下列問題。

當瀏覽器關閉時(有時候甚至都沒有連接到互聯網)，會出現彈出廣告。當打開瀏覽器時，一個像HotOffers.com的網站出現了，而不是我們內部網的主頁。

一個名為“Viewpoint”的搜索工具條出現在瀏覽器上，無論我們在地址欄內輸入什么，這個工具條都一直在搜索。

我有最新的殺毒軟件，并且沒有發現病毒。使用查殺間諜軟件的工具“SpyBot Search & Destroy ”進行掃描之后，發現一些不熟悉的文件，我將刪除這些文件。但是，這樣并沒有解決這些問題。那是什么文件？我如何刪除這些文件？請幫忙。

專家提供的補救措施：

清除間諜軟件第一步：診斷

安全專家Kevin Beaver：你在這里遇到的問題是人的問題和技術的局限性結合在一起產生的問題。間諜軟件和廣告軟件的啟動是用戶盲目點擊鼠標造成的。當IE瀏覽器彈出一個對話框，要求在IE中安裝一個ActiveX控件或者向用戶計算機下載其它貌似安全的游戲、屏幕保護程序等軟件時，用戶往往隨意點擊“確認”。

這就是我說的人的問題。這個問題經常發生，因為用戶只是想安裝軟件，彈出式廣告就借此機會避開檢查想做什么就做什么了。一旦你的用戶允許在他們的系統中安裝這種軟件，根據這種軟件的性質，無論用戶是否啟動IE或者系統是否連接到互聯網，這種軟件都能夠控制Windows計算機的某些方面。這包括啟動彈出式廣告、修改缺省的主頁等。

技術的局限性與查殺間諜軟件的工具有關。“Spybot Search & Destroy”對于保護臺式電腦并不是萬能的解決方案，盡管這是我使用的最好的軟件工具。

安全專家Tony Bradley：從給出的情況看，這里可能存在兩個不同的問題。當計算機甚至還沒有連接到互聯網的時候也出現彈出式廣告，這類程序可能是通過Windows Messenger服務進入用戶計算機的。修改瀏覽器主頁和搜索工具條最有可能是瀏覽器輔助對象(BHO)出現的問題造成的。間諜軟件是一種隨看隨下(drive-by downloads)的軟件。當用戶訪問惡意網站時，間諜軟件利用瀏覽器中的漏洞不需要用戶同意就安裝在用戶的計算機中。

安全專家Lawrence Abrams：當瀏覽器中的搜索功能和主頁被修改之后，通常會出現劫持瀏覽器的情況，就像“Viewpoint Manager”軟件劫持瀏覽器一樣。瀏覽器劫持一般分為兩大類，主動劫持和被動劫持。

主動劫持者是一種在計算機啟動時就調入的程序。這種程序持續監視計算機的具體設置，確保這些設置符合劫持者的愿望。被動劫持是在計算機啟動時開始運行的程序。這種程序修改某些設置并且上傳。一旦你確定這種劫持程序，這些問題是很容易修復的。

首先，你必須確定你處理的是哪一類劫持程序。我使用HijackThis軟件進行查找。如果你熟悉程序入口(entry)的位置或者把軟件程序與啟動數據庫進行比較，你就可以找到劫持軟件。

在運行HijackThis工具軟件時，我們注意到了Viewpoint工具條和Viewpoint管理器的入口。這就是Viewpoint間諜軟件的罪證。我們還看到起始頁的入口已經被修改了。

至于熱力推薦(HotOffers)的問題，修復這個入口似乎并不起作用。他們還是不斷地出現，上面提到的事情似乎都不是這個問題的原因。起始頁改回到HotOffers的事實說明我們正在處理的問題是主動的劫持。

在這種情況下，我們需要使用另外一種名為“SilentRunners”的工具軟件。這個工具能過讓我們深入到正在這種自動運行的程序中。

SilentRunners將生成一個關于注冊表設置的登記列表，找出哪些不是Windows缺省設置的程序。

運行這個程序，我將看到如下結果：

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support"
-> {CLSID}InProcServer32(Default) = "C：\WINDOWS\System32\param32.dll" [null data]

這就告訴我一個名為c：\windows\system32\param32.dll的文件在計算機中啟動了。param32.dll文件不是缺省的Windows配置。要確定這個文件是不是罪魁禍首，我使用Sysinternal軟件中的strings.exe程序查看這個文件內部的ASCII字符串。

當在可執行文件中看到列出的字符串時，我們看到了一個HotOffers，我們現在知道我們已經找出了這個問題了。

清除間諜軟件第二步：立即行動

安全專家Kevin Beaver：在這種情況下，你應該運行一兩種其他反間諜軟件掃描工具，看看能否清除間諜軟件的感染。遺憾的是，防御間諜軟件和廣告軟件需要多層次的防護措施才能有效。

安全專家Tony Bradley：要防止任何Windows Messenger服務向系統濫發彈出式信息，你需要關閉Windows Messenger服務(不要與MSN Messenger即時消息工具軟件相混淆)或者封鎖進入UDP端口135、137和138以及TCP端口135、139和445的通信。

用戶已經驗證，殺毒軟件是最新的，并且使用了目前最好的反間諜軟件工具之一的“Spybot - Search & Destroy”。 然而，這些反間諜軟件工具都不是100%的有效。不要簡單地依賴S&D軟件的檢查結果。用戶還應該試一下使用其它的反間諜軟件工具，例如Lavasoft公司的Ad-Aware、微軟測試版的Windows AntiSpyware和Webroot軟件公司的Spy Sweeper。

安全專家Lawrence Abrams：雖然劫持軟件不會傳播到其它計算機中，但是，這種軟件在許多情況下會嚴重降低IE瀏覽器的安全設置。因此，在清除這種感染防止進一步感染之前，阻止用戶使用被感染的計算機是非常重要的。