Windows 7 企业版 x64
所以我犯了一个错误,运行了一个从互联网上下载的可疑可执行程序。我正在制作 DVD,但我不知道如何从 funnyordie.com 下载视频,所以我冒险尝试了 Wondershare Allmytube。它满足了我的要求,但似乎真的很不可靠,它让我的笔记本电脑开始疯狂工作,以至于我的风扇在没有任何用户输入的情况下启动,所以我关闭了 wifi 并立即卸载了它,现在我很担心我是某个僵尸网络的一部分,或者有人拿到了我保存的 chrome 密码。
在我卸载它之后,C:/Program Files (x86)/Common Files/Wondershare、C:/Program Files/Common Files/Wondershare、C:/ProgramData/Wondershare 中仍然有文件,并且我的桌面上有一个 .exe。我在这个论坛上找到了一个有同样问题的人:http://www.smartestcomputing.us.com/topic/71056-wondershare-helper-compact/
唯一的问题是他们的解决方案只针对该用户的机器,我无法下载修复列表.txt管理员在本帖中提供了一些信息,看看他做了什么。不过,我确实像这个人一样运行了 Farbar 恢复扫描工具,并在FRST.txt文件。
在标题下註冊儲存區 (白名单),我发现了以下几行:
HKLM-x32...\运行: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
HKLM-x32...\运行: [DelaypluginInstall] => C:\ProgramData\Wondershare\AllMyTube\DelayPluginI.exe
在标题下互联网(白名单),我发现了这一行:
BHO-x32:Wondershare AllMyTube 4.2.0 -> {067DF9EC-26B7-40DC-8DB8-CD8BE85AE367} -> C:\ProgramData\Wondershare\AllMyTube\WSBrowserAppMgr.dll 没有文件
在标题下火狐,我发现了这一行:
FF HKLM-x32...\Firefox\扩展:[[电子邮件保护]] - C:\ProgramData\Wondershare\AllMyTube\[电子邮件保护]
我如何将所有对 Wondershare 的引用从白名单中删除?这似乎是一个安全威胁,我正在尝试修补它。(我也运行了 malwarebytes,它检测并删除了几个威胁。)我是否以正确的方式看待这个问题?
答案1
Wondershare 和现在的 iSkysoft(我尝试了 iSkysoft Video Editor)似乎表现出一些类似于恶意软件的行为,即安装了一个隐藏的软件,并设置为即使卸载后也在后台持续运行。这非常“粗鲁”。为了清理它所做的事情,我采取了以下措施。
- 创建一个包含以下文本的 .REG 文件。这些代表要删除的注册表项和值,因为我确定它们与 Wondeshare 严格关联。为了识别它们,我在注册表中搜索了“wondershare”,并记下了包含特定于 wondershare 文件级别的结果的父项。然后,我通过再次在注册表中搜索上次搜索到的 TypeLib GUID 来搜索对它们的间接引用(例如,我还搜索
{249694CE-7F79-4224-A555-11B445F947AB}
并记下了这些结果中的父项)。最终结果有些多余,因为其中一些项实际上是名称不同的同一项,但多次删除同一项不会造成任何损害,也不会报告错误。
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_CLASSES_ROOT\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_CLASSES_ROOT\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]
[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[-HKEY_CLASSES_ROOT\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]
[-HKEY_CLASSES_ROOT\Interface\{0FA988D3-BA51-48AD-A518-6462CD5FF547}]
[-HKEY_CLASSES_ROOT\Interface\{225BE4D8-64CA-49B1-9630-917F2D92F452}]
[-HKEY_CLASSES_ROOT\Interface\{36B0BA4B-20B5-4369-BBCA-9FAADC8EAC19}]
[-HKEY_CLASSES_ROOT\Interface\{46884330-13BA-4AC9-BEDC-3A2E955EB8DA}]
[-HKEY_CLASSES_ROOT\Interface\{4D3609D2-1D8A-4E9F-884B-438AFDDECB86}]
[-HKEY_CLASSES_ROOT\Interface\{55DB3C89-37B9-41E8-87CC-7C578D2F5374}]
[-HKEY_CLASSES_ROOT\Interface\{5610D1A9-5B54-4E77-9190-94FF9E59AFBA}]
[-HKEY_CLASSES_ROOT\Interface\{70AC1FC1-A22B-4327-9A54-754B9301A056}]
[-HKEY_CLASSES_ROOT\Interface\{B76550E2-048B-4D8C-B432-4668A54EDEA3}]
[-HKEY_CLASSES_ROOT\Interface\{C5CAFA8E-F69D-4E6F-9BF3-1F4522AFD4BE}]
[-HKEY_CLASSES_ROOT\Interface\{E1839CDE-A191-4DA4-9FCE-178A88318DF4}]
[-HKEY_CLASSES_ROOT\Interface\{E5E91D68-955D-4DE1-AB8E-89B26DF6A331}]
[-HKEY_CLASSES_ROOT\Interface\{E90BA470-0728-47E6-B2E7-0ED0C0CFEA8F}]
[-HKEY_CLASSES_ROOT\Interface\{F0ABE7E0-32E3-472E-924C-162B1996DC23}]
[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{6E993643-8FBC-44FE-BC85-D318495C4D96}]
[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]
[-HKEY_CURRENT_USER\SOFTWARE\BugSplat]
[-HKEY_CURRENT_USER\SOFTWARE\Wondershare]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32]
"Wondershare Helper Compact.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run]
"Wondershare Helper Compact.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Wondershare]
保存并运行 REG 文件。忽略消息中说它“添加”了信息到注册表的事实。它实际上只是删除了所有这些键和值,并没有添加任何内容。
然后检查任务管理器中是否有一个名为 Wondershare Studio 的进程。我认为这个进程在我运行 REG 文件之前就已经运行了,但之后似乎消失了。如果它还在那里,我会强行结束它。
最后,删除以下目录应该是安全的,注意这是 64 位操作系统上的目录名称,如果您有 32 位操作系统,则该
(x86)
部分将不属于路径的一部分:C:\Program Files (x86)\Common Files\Wondershare
这就是我能找到的所有需要清理的东西了。
笔记:我不建议在 32 位操作系统上使用上述 REG 文件,因为 32 位 Windows 的注册表结构不同,没有所有的 WOW6432Node 位。
答案2
我在另一个网站上找到了有关此 Wondershare 问题的有用提示。
- 进入注册表编辑器。
- 折叠所有文件。
- 进入“编辑”并点击“查找” - 输入
Wondershare
后它将调出文件的实例(一个接一个)。 - 您必须手动删除它们。
- 继续F3查找文件的下一个实例,直到查找完整个注册表。
我敢打赌,我有 30 个不同的注册表项,上面有 Wondershare。电脑现在运行良好。
答案3
我找到了 Control.Alt.Delete,然后是进程。删除 Wondershare 下的任何内容,然后返回常规卸载程序并删除。对我有用
答案4
我遇到了同样的问题。我从控制面板卸载了 Wondershare,但每次重新启动时都会出现一个对话框,提示“wondershare helper compact”要修改系统。我进入了标准恶意软件清理模式:打开 regedit 并搜索 wshelper.exe。您将找到很多匹配项,但您可以忽略其中的大多数。继续按 F3 查找下一个匹配项,直到最终找到位于 RUN 键内的匹配项。“RUN”键很重要,因为这是软件挂入计算机启动序列的方式。一旦在 RUN 键下找到 wshelper.exe 值,请将其删除。 * 注意不要删除除 wshelper.exe 值之外的任何其他内容。如果您不小心删除了其他内容,可能会损坏您的计算机。只有您有经验,才可以遵循此过程。还可以通过在控制面板中创建还原点来备份您的注册表 * 您可能会发现您有多个“RUN”键(在我的电脑中,我的电脑有一个 WOW6432 重定向子节点,所以我有两个 RUN 键),因此请继续查找 wshelper.exe 可能隐藏的任何 RUN 键。然后我重新启动,不再出现烦人的 Wondershare 帮助对话框。我没有费心清理所有其他注册表项和硬盘文件夹,因为我很高兴它们全部被解开并且不处于活动状态。我希望这能帮助处于同样情况的人。