大家好,又见面了,我是你们的朋友全栈君。
文章太长,懒得看?一句话总结:
everything软件搜索 *unins*.exe ,按修改时间排列,双击最近的反安装程序卸载。
流氓软件来源:
- 下载站点了高速下载,高速下载器捆绑安装,或正常软件捆绑安装。。
- 病毒下载的,甚至是驱动木马,特点是卸载后反复出现。 可以用360急救箱强力模式联网查杀,重启再扫描一遍。或者360急救盘等杀软急救盘扫描。
清理时需要用的软件:
1.everything(文件搜索工具)
2.process explorer(进程管理器,用来定位弹窗进程)
3.autoruns(开机启动项管理工具,主要用到过滤器查找启动项)
4.registry workshop(注册表编辑器,用来搜索注册表)
5.traymgr(托盘图标管理程序)
6.句柄查看精灵或spy++(前者win10下不能用,主要用来搜索句柄,再定位到相关进程)
7.nsudo(赋予软件Ti权限)
8.total uninstall(通过建立文件和注册表快照,分析软件安装或卸载过程修改的文件和注册表)
5、6的使用方法,可以参考我的博文“右下角托盘广告消息弹窗?如邮件图标广告等通用解决方法”
定位流氓软件目录
-
根据弹窗或托盘图标,定位。
举例一,如下面的弹窗
定位方法。打开Process Explorer,拖动瞄准环图标到弹窗上方释放,就可以定位弹窗进程。右击进程,属性,可以得知相关目录。
打开目录后,可以看出并不是软件目录,只是软件临时下载的弹窗程序目录。
接下来,右击程序,属性,查看详细信息,根据这个判断所属软件。
呃,看不出具体软件,可以百度搜索。不过考虑到软件开机就弹窗,可以用autoruns软件找到相关启动项。
举例二、托盘的广告弹窗,没法用上面方法定位,可以用到traymgr找到图标对应句柄,然后搜索句柄对应的进程。
上图用句柄查看精灵搜索句柄,win10下可能无法使用,可以用spy++,参考我的另一篇文章“右下角托盘广告消息弹窗?如邮件图标广告等通用解决方法”。
上图的也不是软件目录,不过可以根据路径有kuaiya,得知是快压软件,或者百度、autoruns搜索exe的数字签名公司得知是快压。
知道流氓软件及目录后的卸载方法
1.常见的,控制面板卸载,或者开始菜单程序列表找到卸载,又或者国产杀毒软件的软件管家卸载。
2.如果上面找不到卸载选项时,可以打开软件目录,找到反安装程序双击卸载。我电脑上的一些软件的反安装程序如下,可以看出大部分包含uninst字样。
所以可以考虑用everything软件全盘搜索uninst,指不定能找到所有反安装程序。
如上图,除去tool_uninstall.exe,别的都是反安装程序,一个个双击卸载就可以了,是不是很简单!
前提你要知道你卸载的是什么软件,不要误删了。不过一般双击卸载时,会提示你是否卸载XXX软件。或者你在上图,按修改时间排列,卸载最近安装的就可以了。
有的反安装程序是unins000.exe,这里没显示,所以上面最好搜索*unins*.exe,还有的uni0nst.exe等。
注意,部分软件卸载后,需要重启才能彻底清除。卸载后文件还在的话,可能需要右击反安装程序管理员运行。
3.如果之前暴力删除了软件文件夹,又因为流氓软件运行中,部分文件无法删除,反安装程序也没有了。怎么手动清理残留的文件和注册表?
除去纯绿色软件,任何软件都不要直接删除文件夹,一定要按正常卸载步骤卸载。已经删除过,没删除干净的话,可以考虑重新安装一遍软件,再正常卸载?
如果对电脑不怎么了解的话,下面内容可以不用看了
————————————————小白分割线————————————————
不想安装一遍软件的话,可以用autoruns,取消勾选软件相关的启动项,然后重启系统,软件就没有运行了,可以随便删除文件和注册表项。
考虑到部分文件夹和注册表项,可能需要TrustedInstaller权限才能删除,可以用nsudo,启用全部特权运行everything、registry workshop。运行前记得退出已打开的everything、registry workshop软件。
搜索相关文件,并删除。一定要清楚你要删除的文件,不要误删系统文件。
在registry workshop里搜索软件的目录,软件名称,不清楚要删除的项目时,不要随意删除。如图中软件,可以切换不同的关键词搜索,如kuaizip、快压、kuaiya。
上面的方法清理注册表后,依然是有残留,可以用一些注册表清理工具清理(国产卫士管家都有这些功能) 。
完整的清理方法。可以在虚拟机里安装软件,用total uninstall分析软件安装过程,导出卸载reg文件。
虚拟机里打开total uninstall后,点已监视程序,再点文件,安装新程序。
到下面界面时,先不点,开始安装软件,安装完软件再点“程序已安装”。
在监视日志里,找到注册表,右击,导出注册表的更改,导出类型卸载文件。日志里有一些系统修改的注册表项,可以右击从日志内移出,之后再导出卸载文件。
我懒得再安装一遍软件,所以我监视的是卸载软件过程,所以导出时选择了导出安装文件。监视安装过程,导出卸载文件,监视卸载过程,导出安装文件,能理解吧?
上面的reg在实机双击导入,就能够清理软件的注册表项。文件,可以参考监视列表的文件路径,在实机里删除。
以上就是手动清理流氓软件的方法。
补充:
部分软件会导致系统异常,如一些高速下载器附带的fastwifi,可能会导致电脑上大部分联网软件崩溃无法打开。可以开机按f8进入安全模式卸载(win10进安全模式的方法,自己百度)。
或者管理员命令行,重置winsock。执行后重启:netsh winsock reset
在不考虑注册表残留的情况下
关于软件文件夹无法删除的原因。软件目录里有进程运行中,或者目录的dll在explorer.exe里加载了。
打开任务管理器,查看、选择列,勾选映像路径名称(win10直接右击栏目勾选)。点击按映像路径排列,找到软件目录进程,结束掉。
如果是服务,可能结束后又重新创建,可以右击转到服务后,停止服务。
结束explorer.exe,任务管理器里点文件,新建任务,浏览到软件目录,右击删除。至于用工具解锁或强力粉碎删除的,这里就不说了。
如果是手动删除带驱动的软件,建议在PE下操作,安装PE到系统上,重启方向键下选择PE进入。
找到软件目录,右击重命名,后面加_bak(预防删除软件后进系统出错,还可以还原)。
打开C:\windows\system32\drivers,右击空白处,查看,详细信息。右击空白处,排序方式,更多,勾选公司。
点公司,按公司排列,备份删除软件公司相关文件(驱动不能随便删除,重启后蓝屏还可以恢复备份)。
就讲到这里,有兴趣的自己研究。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/125405.html原文链接:https://javaforall.net
