圣琪酵母和红枣:怎样在注册表里找到划词搜索相关的项？

下载“流氓软件清理助手”，点“清理”

你会发现有几项注册表相关文件总是删除不了，删除了又自动生成！而且有两个键值没有权限删除（删除时出错！），不信你试试！在C盘下有2个文件在安全模式下也无法删除！你试试！

不过我想出个好办法，最后还是清除干净了此病毒！！呵呵！

“划词”乃是流氓软件之首，而且是最难删除的软件！

楼上乃是网上抄的，复制过来的！而且无效！
地址：http://www.hminfo.net/news/articleview/2006-5-4/article_view_191.htm

最难删除的就是这2个键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\abhcop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hcalway
删除后这个病毒就可以消灭了~！

删除方法：
1、首先用划词搜索自带的卸载程序（或卸载工具）卸载。当然是不能卸载掉的，但可清除掉划词搜索在注册表的一些东东。

2、启动机器进入DOS环境，用Deltree命令直接删除划词搜索的安装目录HUACI。此时若启动系统，会发现在系统配置程序和注册表启动项里还遗留有东西。并且用瑞星、卡巴斯基、KV2005、金山毒霸、熊猫卫士等杀毒软件以及卸载工具都不能查出还遗留有其他文件。只有用Symantec AntiVirus企业版或Symantec Norton AntiVirus 才能发现在C:\windows\system32\drivers\下还遗留有两个文件：hcalway.sys和abhcop.sys 。真是狡猾，竟然隐藏在系统硬件驱动目录里，并且还伪装成系统文件，让你无法删除。划词搜索的恶劣还不止此，若用系统进程分析工具分析其句柄，你会发现它的启动进程竟然做到了系统驱动的最底层！太厉害了，难怪系统配置程序和注册表启动项里的东西删了再来删了再来，总也删不掉。

3、在DOS环境里用attrib命令去掉遗留文件hcalway.sys和abhcop.sys 的只读属性，然后删除。attrib是一个外部命令，一般的DOS启动盘里没有的，需要用到DOS6.22 才行。attrib.exe我会上传在本帖附件里，需要的可下载到你的C盘根目录下。命令格式为：
attrib hcalway.sys -r
attrib abhcop.sys -r
去掉这两个文件的只读属性后，就可以用在DOS下将其删除了。