use*_*534 5 security windows-registry windows-7 malware malware-removal
Windows 7 企业版 x64
所以我犯了一个错误,运行了一个从互联网上下载的可疑可执行程序。我正在制作 DVD,但我不知道如何从 funordie.com 下载视频,所以我冒险尝试了 Wondershare Allmytube。它做了我想要的,但它看起来真的很粗略,它让我的笔记本电脑开始工作如此努力以至于我的风扇在没有任何用户输入的情况下启动,所以我关闭了 wifi 并立即将其卸载,现在我很怀疑我是某些僵尸网络的一部分或某人获得了我保存的 chrome 密码。
即使我卸载了它,在 C:/Program Files (x86)/Common Files/Wondershare、C:/Program Files/Common Files/Wondershare、C:/ProgramData/Wondershare 中仍然有文件,并且有一个 .exe我的桌面。我在这个论坛上发现有人有同样的问题:http : //www.smartestcomputing.us.com/topic/71056-wondershare-helper-compact/
唯一的问题是他们的解决方案特定于该用户的机器,我无法下载该线程中管理员提供的fixlist.txt以查看他做了什么。但是,我确实像这个人一样运行了 Farbar 恢复扫描工具,并且在FRST.txt文件中发现了一些对 Wondershare 的引用。
在标题Registry (Whitelisted) 下,我发现了以下几行:
HKLM-x32...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
HKLM-x32...\Run: [DelaypluginInstall] => C:\ProgramData\Wondershare\AllMyTube\DelayPluginI.exe
在标题Internet (Whitelisted) 下,我发现了这一行:
BHO-x32:Wondershare AllMyTube 4.2.0 -> {067DF9EC-26B7-40DC-8DB8-CD8BE85AE367} -> C:\ProgramData\Wondershare\AllMyTube\WSBrowserAppMgr.dll 无文件
在标题Firefox 下,我发现了这一行:
FF HKLM-x32...\Firefox\Extensions: [AllMyTube@Wondershare.com] - C:\ProgramData\Wondershare\AllMyTube\AllMyTube@Wondershare.com
如何从白名单中删除对 Wondershare 的所有引用?这似乎是一个安全威胁,我正在尝试修补它。(我还运行了恶意软件字节,它检测并删除了几个威胁。)我是否以正确的方式看待这个问题?
Wondershare 和现在的 iSkysoft(我尝试过 iSkysoft 视频编辑器)似乎表现出一些类似于恶意软件的行为,因为安装了一个隐藏的软件并设置为即使在卸载后也在后台持续运行。这是非常“粗鲁”的。在我努力清理它所做的事情时,我采取了以下措施。
{249694CE-7F79-4224-A555-11B445F947AB}从这些结果中搜索并记录了父键)。最终的结果有些多余,因为其中一些键实际上是不同名称下的相同键,但是多次删除相同的键既不会造成伤害也不会报错。Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_CLASSES_ROOT\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_CLASSES_ROOT\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]
[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[-HKEY_CLASSES_ROOT\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]
[-HKEY_CLASSES_ROOT\Interface\{0FA988D3-BA51-48AD-A518-6462CD5FF547}]
[-HKEY_CLASSES_ROOT\Interface\{225BE4D8-64CA-49B1-9630-917F2D92F452}]
[-HKEY_CLASSES_ROOT\Interface\{36B0BA4B-20B5-4369-BBCA-9FAADC8EAC19}]
[-HKEY_CLASSES_ROOT\Interface\{46884330-13BA-4AC9-BEDC-3A2E955EB8DA}]
[-HKEY_CLASSES_ROOT\Interface\{4D3609D2-1D8A-4E9F-884B-438AFDDECB86}]
[-HKEY_CLASSES_ROOT\Interface\{55DB3C89-37B9-41E8-87CC-7C578D2F5374}]
[-HKEY_CLASSES_ROOT\Interface\{5610D1A9-5B54-4E77-9190-94FF9E59AFBA}]
[-HKEY_CLASSES_ROOT\Interface\{70AC1FC1-A22B-4327-9A54-754B9301A056}]
[-HKEY_CLASSES_ROOT\Interface\{B76550E2-048B-4D8C-B432-4668A54EDEA3}]
[-HKEY_CLASSES_ROOT\Interface\{C5CAFA8E-F69D-4E6F-9BF3-1F4522AFD4BE}]
[-HKEY_CLASSES_ROOT\Interface\{E1839CDE-A191-4DA4-9FCE-178A88318DF4}]
[-HKEY_CLASSES_ROOT\Interface\{E5E91D68-955D-4DE1-AB8E-89B26DF6A331}]
[-HKEY_CLASSES_ROOT\Interface\{E90BA470-0728-47E6-B2E7-0ED0C0CFEA8F}]
[-HKEY_CLASSES_ROOT\Interface\{F0ABE7E0-32E3-472E-924C-162B1996DC23}]
[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{6E993643-8FBC-44FE-BC85-D318495C4D96}]
[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]
[-HKEY_CURRENT_USER\SOFTWARE\BugSplat]
[-HKEY_CURRENT_USER\SOFTWARE\Wondershare]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32]
"Wondershare Helper Compact.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run]
"Wondershare Helper Compact.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Wondershare]
保存并运行 REG 文件。忽略消息说它向注册表“添加”信息这一事实。它实际上只是删除了所有这些键和值,并没有添加任何内容。
然后检查任务管理器中名为 Wondershare Studio 的进程。我认为这是在我运行 REG 文件之前运行的,但之后似乎消失了。如果它还在那里,我会强行结束它。
最后,删除以下目录应该是安全的,注意这是 64 位操作系统上的目录名称,如果您使用的是 32 位操作系统,则该(x86)部分将不会成为路径的一部分:
C:\Program Files (x86)\Common Files\Wondershare
这就是我能找到的清理方法。
注意:我不建议在 32 位操作系统上使用上述 REG 文件,因为 32 位 Windows 在没有所有 WOW6432Node 位的情况下以不同的方式构建注册表。
| 归档时间: |
|
| 查看次数: |
72391 次 |
| 最近记录: |