juey

对中文上网助手（CNNC）的处理方法
作者：juey
来源：黑域在线

因为在网上下载个软件，结果安装后，点击安装后，发生居然没有动静，而且过几秒钟后，广告就从底下冒上来。此时，任务管理器中多出了Mmsass~1.dll和rundll.dll，而且用兔子查出位置是在Program Files下，已经知道中招了。在这里直之前。我立即用卡吧进行查杀。卡吧藐视可以查出，但是却无法删除。在这里顺便BS下9191下载站，下了两次软件，结果都携带病毒。在这里也提醒大家别去那鸟站下载东西了。好了，现在我们来说下卸载的过程。在网上查阅了点有关资料

QUOTE:
进程位置： PROGRA~1\MMSASS~1
程序名称： Troj_ADWARE.Mmsass
程序用途： 恶意广告木马病毒
程序作者： MMsassist***通
进程分析： 该病毒修改注册表创建ShellServiceObjectDelayLoad项实现模块注入。属于浏览器劫持类恶意广告插件木马病毒。该病毒也修改注册表创建系统服务JMediaService，通过运行系统rundll32.exe将病毒模块MMSSVER.DLL和Mmsass~1.dll注入进程运行。


既然我们了解他的它的进程和所依赖的服务，那我们就可以通过方法去解决了。我们首先在任务管理器中结束那两个进程，接着，我的电脑-》控制面板-》管理工具-》服务，查找JMediaService这个服务，打开属性停止并且禁用。然后来到所安装的文件夹c:\programs files\mmsassist下，用unlocker删除，这里一定要要用unlocker删除，因为普通的手动上出是无法删除的，即使在安全模式下也一样无法删除，删除后mmsassist文件夹马上又回来。unlocker的使用方法：在要删除的那个文件或文件夹上，按下鼠标右键中的「Unlocker」，然后在选择框中选“删除”，即可。再用unlocker删除此程序条用的模块，位置如下：
%windir%\system32\Albus.DAT
%windir%\system32\almms.dat
%windir%\system32\alsmt.exe
手动查找注册表，查找以下文件：
Albus.DAT
almms.dat
alsmt.exe
删除完成后重新启动，一切已经天下太平。
其实我们还可以利用恶意软件清理助手在安全模式进行删除，但是前提也一定要停止JMediaService服务
然后进行清理。

这文章其实很多地方是参考别人的，但是他们说的并不是横详细，而且还有很多纰漏，自己写这文章也只是给自己个学习的机会，也给自己以后碰到此类问题总结了经验。不足之处，请提出批评