Security Scanner恶意软件删除指南

目录：

1. 介绍什么是 Security Scanner 以及保修可能涵盖的支持
2. 拆卸说明
3. 相关的Security Scanner文件
4. 相关的Security Scanner注册信息
5. 防止再次感染

介绍什么是 Security Scanner 以及保修可能涵盖的支持

Security Scanner软件是恶意软件，与Security Shield恶意软件相似。这是一个流氓防间谍软件程序。它假装扫描您的计算机，并显示假警报。它会阻止您运行任何程序。通常，该程序通过病毒或访问尝试在您的计算机上利用安全漏洞的网站进入您的计算机。该程序会在您不知情的情况下自行安装。它将自身作为随机命名的文件添加到您的计算机中。如果您运行的是 XP，则位于 C：Documents and SettingsLocalSettingsApplication Data中，如果您运行的是更新的作系统，则位于 C：UsersAppDataLocal 中。

解决此问题最稳妥的方法是在计算机上执行出厂还原或清洁操作系统安装。指导您重新安装在您的 ProSupport 保修范围内。您也可以在以下相应链接页面找到指导您为特定操作系统和情形执行此操作的文章。

• 在戴尔计算机上重新安装或还原操作系统的在线指南

恶意软件将扫描您的计算机，并报告您的计算机上存在大量受感染的文件。在允许您删除这些感染之前，它会告知您需要先购买此程序。请不要购买。所有报告都是假的。

为了阻止您删除它，并让您认为计算机即将停止响应，它会停止您尝试运行的任何程序。每次停止程序时，它都会发出警报消息，指出该程序已被感染。消息声称您应该购买 Security Scanner 来清除感染。
 

"winword.exe" is infected with "Backdoor:Win32/Samsteal.A.dr".
Do you want to register your copy and remove all threats now?

它会报告如下感染：

• Backdoor: Win 32
• Hackdef.O
• Virus.DOS.Lct.599
• Virus.DOS.Silver.2071
• Virus.DOS.Zerobug.1536.a
• TrojanWin32.KillWin.bl
• 基于 Backdoor.Win32.RA
• TrojanWin32.Killav.k
• Backdoor.WinCE.Brador.a

与处理扫描结果一样，忽略此消息。

可以看到各种警报消息，如：

Security Scanner Warning
Spyware.IEMonster process is found. This is a virus that is trying to send your passwords from Internet browser (Explorer, Mozilla Firefox, Outlook & others) for the third-parties.
Click here to protect your data with Security Scanner.

Security Scanner Warning
Harmful software have been detected at your PC.
Click here to deactivate it.

Security Scanner Warning
Security Scanner has found viruses at your system.
We highly recommend to get license for Security Scanner to remove harmful software now.

它还会控制 Internet Explorer 以阻止您浏览，并阻止您下载任何其它清理软件。通常带有一个屏上警告，表示您访问的站点不安全，并已尝试感染您的系统。

This page under virus attack. This may crash your system.
This may be caused by :

Virus content founded at this site trying to install its components.
Malicious & unknown network processes are determined.
Your system is under virus attack
Negative references from other citizens concerning this web page.
Your system ports and backdoors have been checked by visited page for external access.

Recommendations:

Obtain a license of "Security Scanner" to protect your PC for the safest browsing Internet pages (desirable)
Launch spyware, virus and malware scanning process.
Keep browsing

如上所述，请忽略此消息。Security Scanner的唯一目的是让您购买该程序。请勿购买此程序。如果您已向他们付款，请联系您的信用卡公司取消支付。告知他们该程序是计算机感染，正尝试敲诈钱财和捕获您的信用卡详细信息。

拆卸说明

我们需要从在 Safe Mode with Networking 下启动开始。请遵循您的 Windows 版本的相应指南：

• 如何启动进入 Windows 11 或 Windows 10 的安全模式
• 如何在 Windows 10 中启动至安全模式 

您最终将转至类似以下示例。

Windows Advanced Options Menu
Please select an option:

      Safe Mode
      Safe Mode with Networking
      Safe Mode with Command Prompt

      Enable Boot Logging
      Enable VGA Mode
      Last Known Good Configuration (your most recent settings that worked)
      Directory Services Restore Mode (Windows domain controllers only)
      Debugging Mode
      Disable automatic restart on system failure

      Start Windows Normally
      Reboot

Use the up and down arrow keys to move the highlight to your choice.

使用键盘上的光标或箭头键选择屏幕上的带网络连接的安全模式，然后按键盘上的 Enter 键。

Windows 启动至网络安全模式，并提示您以用户身份登录。请以受恶意软件感染的用户身份登录。

此恶意软件将编辑您的Windows设置以使用代理服务器。这样将阻止您浏览Internet上的任何网页和更新安全软件。遵循这些说明，以便我们下载删除此感染所需的工具。 

您可以启动 Internet Explorer，然后从工具菜单选择 Internet 选项，或转至控制面板，然后在此处打开。

单击连接选项卡。

单击“LAN Settings（局域网设置）”按钮。

清除标记为为 LAN 使用代理服务器的复选框。按确定按钮完成您的选择，然后关闭窗口。再按确定关闭Internet选项窗口。现在，您应能够上线下载删除工具了。

删除的第一步是终止属于该恶意软件的进程。在此情况下，我使用 RKill，因为这是我熟悉的程序。您可以使用其他程序，但以下步骤适用于上述程序。您可以从以下链接将RKill下载至桌面。（RKill 已被 BleepingComputer 开发为免费软件，它很有用。）

• RKill下载链接   

您可能想要在另一计算机上下载 RKill 和 iexplore.exe，因为有些恶意软件能识别 RKill，并会尝试阻止它运行。使用可移动介质将它们保存到您的桌面。

双击 RKill 或 iExplore.exe 图标可自动停止与 Security Scanner 和其它流氓程序相关的任何进程。可能需要一些时间才能终止这些进程。完成后，黑窗口关闭。如果您收到RKill是感染的任何错误消息，请忽略。如果任何这些消息关闭 RKill，最好是将消息保留在屏幕上，再运行RKill。如果不关闭该消息，它不会再运行。运行 RKill 后不要重新启动计算机，因为恶意软件与计算机启动关联。

和以前一样，Malwarebytes 是我熟悉的另一个免费程序。您可以使用其他程序。以下步骤将下载 Malwarebytes Anti-Malware 并将其保存到您的桌面。这是一款免费软件程序。

• Malwarebytes下载链接 

下载后，关闭计算机上的所有程序和Windows。（包括此浏览器。）

双击桌面上的图标开始在您的计算机上安装 Malwarebytes。

按照安装提示操作。请勿更改任何默认设置。程序完成安装后，请确保选中 Update Malwarebytes Anti-Malware 和 Launch Malwarebytes Anti-Malware。然后单击完成按钮。如果 MalwareBytes 让您重新启动，请忽略。

现在，Malwarebytes 将启动，您将收到屏上消息，表示您应先更新该程序再执行扫描。安装后，该程序后自动更新，选择确定按钮关闭该对话框，现在，您将处于主程序窗口。

在“Scanner”选项卡上，确保选中 Perform quick scan 选项，然后单击 Scan 按钮开始扫描您的计算机。

该程序开始对您的计算机扫描恶意软件。此进程的速度比完全扫描更快。 

完成扫描后，显示已完成消息框。 

单击确定按钮关闭该消息框，然后转至删除进程。

您返回主扫描仪屏幕。单击 Show Results 按钮。

出现一个窗口，显示该程序发现的所有恶意软件。 

单击删除选定按钮删除所有列出的恶意软件。所有文件和注册表项都被删除，并被添加到程序隔离。删除文件时，Malwarebytes 可能要求重新引导以便删除其中一部分。如果它显示消息，说明必须重新启动，则允许执行此操作。计算机重新启动后，您即已登录，请继续其余步骤。

当 Malwarebytes 删除恶意软件后，它打开扫描日志，并显示在记事本中。审查日志，然后关闭记事本窗口。现在，您可以退出Malwarebytes程序。

如果快速扫描未找到任何内容，请返回并选择 Full scan。这可能需要一段时间才能完成。

此特定恶意软件也会更改 Windows HOSTS 文件，我们必须将操作系统的默认版本恢复到系统中。 

为进行自我保护，System Protection Tools 会更改 HOSTS 文件的权限，使您不能对其进行编辑或删除。我添加了可能解决此问题的一批文件的链接。（像 RKill 这样的文件来自 BleepingComputer。）

• hosts-perm.bat下载链接 

双击 hosts-perm.bat 文件运行该文件。（如果您已将其下载到桌面，则会更加容易。）如果系统询问您是否确定要运行它，请单击“Allow”。将打开并关闭一个小命令提示窗口，这是本应出现的。一旦此程序运行，您可以访问您的 HOSTS 文件。

我们必须删除 C：WindowsSystem32DriversetcHOSTS 文件。删除后，请按照以下有关重置为默认设置的 Microsoft 知识库文章操作。本文涵盖了 Windows XP 到 Windows 8 等操作系统：

• 如何将Hosts文件重置为默认设置？ 

这将使您的 Windows HOSTS 文件恢复默认设置。重新启动计算机。 

相关的Security Scanner文件

相关的 Security Scanner 文件

%LocalAppData%<随机字符>数.exe

文件位置备注

%LocalAppData%：

向当前用户显示“本地设置应用程序数据”文件夹，默认情况下，此文件夹为 Windows 2000/XP 的 C：Documents 和设置<当前用户>本地设置应用程序数据，以及 Windows Vista、Windows 7 和 Windows 8 中的 C：Users<当前用户>AppDataLocal

相关的Security Scanner注册信息

相关的 Security Scanner Windows 注册信息

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce“随机字符”<>

防止再次感染

要最小化重复感染的风险，请确保计算机上运行实时防病毒程序，并查看该程序是否保持最新。如果您不想在付费服务上花费钱财，则可以安装其中一个可用的免费程序。

除了安装传统的防病毒软件以外，您应考虑阅读以下指南，以了解安全联网冲浪的一些基本规则。

• 保护您的计算机免受病毒或恶意软件的侵害

始终仔细检查任何在线账户，例如：

• 网上银行
• 网页邮件
• 电子邮件
• 社交网站 

寻找可疑活动并更改您的密码，您无法辨别恶意软件可能传递了哪些信息。

如果文件已自动备份，则您必须对备份运行病毒扫描，以确认备份没有感染病毒。如果无法进行病毒扫描，例如在线备份。您应该删除旧备份并保存新版本。

保持您的软件最新。确保您经常更新它们。如果您收到任何与此相关的消息，且不确定这些消息是否有效，请务必联系相关公司以澄清。 

在我们的安全和防病毒页面上获取保护您的系统和数据的常规信息和指导。