谁动了我的电脑？

1.什么是插件?
　　插件是指会随着IE浏览器的启动自动执行的程序。
2.恶意插件有什么特征?
　　有些插件程序能够帮助用户更方便浏览因特网或调用上网辅助功能,也有部分程序被人称为广告软件(Adware)或间谍软件(Spyware)。此类恶意插件程序监视用户的上网行为，并把所记录的数据报告给插件程序的创建者，以达到投放广告、盗取游戏或银行账号密码等非法目的。
　　因为插件程序由不同的发行商发行，其技术水平也良莠不齐，插件程序很可能与其他运行中的程序发生冲突，从而导致诸如各种页面错误，运行时间错误等等现象，阻塞了正常浏览。
　3.插件会从什么位置加载到IE浏览器中?
　　根据插件在浏览器中的加载位置，可以分为工具条(Toolbar)、浏览器辅助(BHO)、搜索挂接(URL SEARCHHOOK)、下载ActiveX(ACTIVEX)。
　4.不同类型插件名词解释
①下载ActiveX(ACTIVEX):
　　ActiveX插件也叫做OLE控件或OCX控件,它是一些软件组件或对象，可以将其插入到WEB网页或其它应用程序中。在因特网上。ActiveX插件软件的特点是：一般软件需要用户单独下载然后执行安装。而ActiveX插件是当用户浏览到特定的网页时，IE浏览器即可自动下载并提示用户安装。
　　ActiveX插件安装的前提是必须先下载，然后经过认证，最终用户确认同意方能安装，因此嵌有ActiveX脚本程序的页面可能会变得非常慢，甚至导致浏览器瞬间失去响应。
　　②浏览器辅助(BHO)
　　BHO全称Browser Helper Object, 是一种随因特网浏览器(如IE)每次启动而自动执行的小程序。通常情况下，一个BHO文件是由其它软件安装到用户的系统中的。例如一些带有下载功能的广告软件，它可能会安装一个BHO文件从而追踪用户在上网冲浪遇到的众多网页广告。
　　通常的BHO会帮助用户更方便地浏览因特网或调用上网辅助功能，也有一部分BHO被人称为广告软件(Adware)或间谍软件(Spyware)，它们监视用户的上网行为并把记录的相关数据报告给BHO的创建者.BHO也可能会与其他运行中的程序发生冲突,从而导致诸如各种页面错误,运行时间错误等等现象,通常阻止了正常浏览的进行。
　③搜索挂接(URL SEARCHHOOK)
　　用户在地址栏中输入非标准的网址,如英文字符或者中文的时候,当地址栏无法对输入字符串解释成功时,浏览器会自动打开一个以用户输入的字符串为搜索词的结果页面,帮助用户找到需要的内容。URLSearchhook对象就是完成搜索功能的插件。它通常是由第三方公司或者个人开发，通过插件的方式安装到浏览器上，目的是为了帮助用户更好的使用互联网。例如用户在地址栏中输入“手机”，就可以直接看到手机搜索结果。也有一些企业或者个人为了达到提高网站访问或其他商业目的，在用户不知情的情况下修改IE浏览器的URLSearchhook。
　④工具条(Toolbar)
　　通常指加载在浏览器的辅助工具。它位于浏览器标准工具条的下方,在IE工具栏空白处点击右键,可以查看所有已经安装的工具条,通过勾选显示或者隐藏已安装的工具条。

背景材料二：
保护与自我保护
现今网络强制性IE插件横行，不知何时我们的机器就会中招，为了安全起见，自我保护的方式必不可少。还没有被这些插件击中的用户，可通过升级Windows系统，安装Windows XP SP2插件，调整IE安全级别等方式保护自己的机器不被IE插件改动。已安装了类似插件的用户，可通过如下方式完全卸载该类插件，解决后顾之忧。
调整IE浏览器的安全级别
点击IE浏览器“工具”菜单的“Internet选项”的“安全”标签,此时看到您的安全级别应该处于“低”的位置,即“下载大多数内容,且无下载提示”。为了抵抗不明插件,请将IE的安全级别调整至“中”的位置,“下载潜在不安全的内容之前给予提示”、“不下载未签名的ActiveX控件”。调整了IE浏览器的安全级别,再遇到插件的时候, IE会弹出一个签名提示框,询问是否需要安装此插件。当每次遇到插件时,最好要仔细阅读签名框再进行操作,确保不会误操作。
新浪“游戏总动园”卸载方法
删除方法：首先修改注册表，关闭名为启动项nmgamex.dll、csrss.exe，然后删除nmgamex.dll、sinaproc327.exe两个文件，再修改csrss.exe文件为任意一个文件名。重新启动计算机后删除修改的csrss.exe文件。
WIN2K操作系统，动项键值如下：
1、启动名称为：nmgamex_autorun 类型：REG_SZ 键值：C:WINNTsystem32Rundll32.exe NMGameX.dll,LiveProcess/aa
2、启动名称为：csrss.exe 类型：REG_SZ 键值：C:WINNTcsrss.exe
　　文件所在目录：
　　csrss.exe c:winntcsrss.exe; 正确的系统文件目录为：c:winntsystem32csrss.exe;
　　cctv5.exe c:cctv5.exe;
　　sinaproc327.exe c:winntsystem32sinaproc327.exe;
　　NMWizardA14.exe c:winntNMWizardA14.exe
　　nmgamex.dll c:winntsystem32nmgamex.dll
　　
　　察看文件NMGameX.dll属性，在版本项中可以看到如下信息：
　　备注：SPORT-新浪体育频道
　　产品版本：1，0，0，24
　　产品名称：NMGAMEN.XEngine
　　个人用内部版本说明：无
　　公司名称：NMGameX
　　合法商标：无
　　内部名称：NMGameX
　　特殊内部版本说明：无
　　语言：中文（中国）
　　源文件名：NMGameX.dll

卸载百度插件的方法：
1.重新启动计算机，按 F8 进入安全模式（F8 只能按一次）
2.单击 开始 -> 运行 regedit打开注册表，进入：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除键：BIE 其键值为：Rundll32 C:\WINNT\DOWNLO~1\BDPlugin.dll,Rundll32（如果是win98，这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\）
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\ACCESSIBILITY
删除键：BDSEARCH，此键在 Internet 选项 -> 高级 中加入了百度IE搜索伴侣的选项。
HKEY_CLASSES_ROOT
删除键：BDHlprObj.BDHlprObj
删除键：BDHlprObj.BDHlprObj.1
删除键：BDHook.BDSrchHook
删除键：BDHook.BDSrchHook.1
删除键：BDHook.URLBDHook
删除键：BDHook.URLBDHook.1
删除键：BDPlugins.Interceptor
删除键：BDPlugins.Interceptor.1
HKEY_CLASSES_ROOT\CLSID
删除键：{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
删除键：{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_CLASSES_ROOT\TypeLib
删除键：{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID
删除键：{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
删除键：{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib
删除键：{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units

删除键：{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
删除键：{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
删除完注册表中的项之后，还需要删除存储在硬盘中IE搜索伴侣的文件。
删除如下文件：C:\WINNT\DOWNLO~1 目录下（98下为 C:\WINDOWS\DOWNLO~1\ 下同）
BDEX.DLL 24576 12-25-02 11：43
BDPLUGIN.DLL 49152 12-25-02 11：44
BDSRHOOK.DLL 32768 12-25-02 11：45
BDHELPER.DLL 36864 12-25-02 11：52
BDSEARCH.INF 1507 12-28-02 9：48

以上文件全部删除，这样百度IE插件就基本上从你的计算机中全部清除了。最后，重新启动计算机，进入正常模式就不再有百度插件的侵害了。
禁止百度插件的方法：
完全删除百度插件之后，用Windows自带的记事本打开hosts文件（hosts文件是Windows里面自带的将主机名称映射到 IP 地址的一个文本格式的文件，hosts表位置，Win9x系列在C:Windows，NT、win2000平台在winntsystem32driversetc，Winxp平台在windowssystem32driversetc，如果找不到就查找一下hosts)

加入以下字符(IP和域名之间用一个空格间隔开)：

127.0.0.1 bar.baidu.com
127.0.0.1www.baidu.com
127.0.0.1 baidu.com

卸载3721插件的详细过程：
　　由于这个3721网络实名插件是使用Rundll32.exe调用连接库的，系统无法终止
Rundll32.exe进程，所以我们必须重新启动计算机，按 F8 进入安全模式之后，单击 开始 -> 运行 regedit.exe 打开注册表，进入：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除键：CnsMin
其键值为：Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32
（如果是win98，这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\）

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\
删除整个目录：!CNS
这个目录在 Internet 选项 -> 高级 中加入了3721网络实名的选项。

HKEY_LOCAL_MACHINE\SOFTWARE\3721\ 以及 HKEY_CURRENT_USER\Software\3721\
删除整个目录：3721
注：如果您安装了3721的其它软件，如 极品飞猫 等，则应删除
整个目录：HKEY_LOCAL_MACHINE\SOFTWARE\3721\CnsMin
　　以及　HKEY_CURRENT_USER\Software\3721\CnsMin

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
删除键：CNSEnable 其键值为：a2c39d5f
删除键：CNSHint 其键值为：a2c39d5f
删除键：CNSList 其键值为：a2c39d5f
在删除完注册表中的项之后，还需要删除存储在硬盘中的3721网络实名文件。
删除如下文件：
C:\WINNT\DOWNLO~1 目录下
（这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\ 下同）
2001-08-09 15:34