Article is too long, too lazy to look? Sentence summary:
Everything software search * unins * .exe, arranged by modification time, double-click the installer recent anti-uninstall.
Rogue software Source:
- Download site download a high-speed, high-speed download bundled installation, or normal bundled software installation. .
- Virus download, or even drive the Trojans, is characterized by recurring after unloading. 360 first aid kit can be a powerful networking killing mode, restart and then scan again. Emergency disk 360 or the like to kill soft rescue disk scan.
Cleaning software needed when:
1.everything (file search tool)
2.process Explorer (Process Manager for positioning popups process)
3.autoruns (boot entry management tool, the main use filters to find startup items)
4.registry Workshop (Registry editor, used to search the registry)
5.traymgr (tray icon management program)
6. handle View wizard or spy ++ (win10 under the former can not be used, mainly used to handle the search, and then navigate to the relevant processes)
7.nsudo (giving software Ti permission)
8.total uninstall (by creating a file and registry snapshots, files and registry analysis software to install or uninstall process modification)
Use 5 and 6, you can refer to my blog "tray bottom right corner of the advertising message pop? Such as mail advertising icons such as General Solution"
Locate rogue software directory
-
According pop or tray icon, location.
For example a, as pop following
positioning method. Open Process Explorer, drag the icon to the ring aiming to release the top of pop, pop can locate process. Right-click process, attributes, you can learn the relevant directory.
After opening the directory, software directory can be seen not just download the software temporary pop program directory.
接下来,右击程序,属性,查看详细信息,根据这个判断所属软件。
呃,看不出具体软件,可以百度搜索。不过考虑到软件开机就弹窗,可以用autoruns软件找到相关启动项。
举例二、托盘的广告弹窗,没法用上面方法定位,可以用到traymgr找到图标对应句柄,然后搜索句柄对应的进程。
上图用句柄查看精灵搜索句柄,win10下可能无法使用,可以用spy++,参考我的另一篇文章“右下角托盘广告消息弹窗?如邮件图标广告等通用解决方法”。
上图的也不是软件目录,不过可以根据路径有kuaiya,得知是快压软件,或者百度、autoruns搜索exe的数字签名公司得知是快压。
知道流氓软件及目录后的卸载方法
1.常见的,控制面板卸载,或者开始菜单程序列表找到卸载,又或者国产杀毒软件的软件管家卸载。
2.如果上面找不到卸载选项时,可以打开软件目录,找到反安装程序双击卸载。我电脑上的一些软件的反安装程序如下,可以看出大部分包含uninst字样。
所以可以考虑用everything软件全盘搜索uninst,指不定能找到所有反安装程序。
如上图,除去tool_uninstall.exe,别的都是反安装程序,一个个双击卸载就可以了,是不是很简单!
前提你要知道你卸载的是什么软件,不要误删了。不过一般双击卸载时,会提示你是否卸载XXX软件。或者你在上图,按修改时间排列,卸载最近安装的就可以了。
有的反安装程序是unins000.exe,这里没显示,所以上面最好搜索*unins*.exe,还有的uni0nst.exe等。
注意,部分软件卸载后,需要重启才能彻底清除。卸载后文件还在的话,可能需要右击反安装程序管理员运行。
3.如果之前暴力删除了软件文件夹,又因为流氓软件运行中,部分文件无法删除,反安装程序也没有了。怎么手动清理残留的文件和注册表?
除去纯绿色软件,任何软件都不要直接删除文件夹,一定要按正常卸载步骤卸载。已经删除过,没删除干净的话,可以考虑重新安装一遍软件,再正常卸载?
如果对电脑不怎么了解的话,下面内容可以不用看了
————————————————小白分割线————————————————
不想安装一遍软件的话,可以用autoruns,取消勾选软件相关的启动项,然后重启系统,软件就没有运行了,可以随便删除文件和注册表项。
考虑到部分文件夹和注册表项,可能需要TrustedInstaller权限才能删除,可以用nsudo,启用全部特权运行everything、registry workshop。运行前记得退出已打开的everything、registry workshop软件。
搜索相关文件,并删除。一定要清楚你要删除的文件,不要误删系统文件。
在registry workshop里搜索软件的目录,软件名称,不清楚要删除的项目时,不要随意删除。如图中软件,可以切换不同的关键词搜索,如kuaizip、快压、kuaiya。
上面的方法清理注册表后,依然是有残留,可以用一些注册表清理工具清理(国产卫士管家都有这些功能) 。
完整的清理方法。可以在虚拟机里安装软件,用total uninstall分析软件安装过程,导出卸载reg文件。
虚拟机里打开total uninstall后,点已监视程序,再点文件,安装新程序。
到下面界面时,先不点,开始安装软件,安装完软件再点“程序已安装”。
在监视日志里,找到注册表,右击,导出注册表的更改,导出类型卸载文件。日志里有一些系统修改的注册表项,可以右击从日志内移出,之后再导出卸载文件。
我懒得再安装一遍软件,所以我监视的是卸载软件过程,所以导出时选择了导出安装文件。监视安装过程,导出卸载文件,监视卸载过程,导出安装文件,能理解吧?
上面的reg在实机双击导入,就能够清理软件的注册表项。文件,可以参考监视列表的文件路径,在实机里删除。
以上就是手动清理流氓软件的方法。
补充:
部分软件会导致系统异常,如一些高速下载器附带的fastwifi,可能会导致电脑上大部分联网软件崩溃无法打开。可以开机按f8进入安全模式卸载(win10进安全模式的方法,自己百度)。
或者管理员命令行,重置winsock。执行后重启:netsh winsock reset
在不考虑注册表残留的情况下
关于软件文件夹无法删除的原因。软件目录里有进程运行中,或者目录的dll在explorer.exe里加载了。
打开任务管理器,查看、选择列,勾选映像路径名称(win10直接右击栏目勾选)。点击按映像路径排列,找到软件目录进程,结束掉。
如果是服务,可能结束后又重新创建,可以右击转到服务后,停止服务。
结束explorer.exe,任务管理器里点文件,新建任务,浏览到软件目录,右击删除。至于用工具解锁或强力粉碎删除的,这里就不说了。
If the software is manually remove the tape drive, the suggested actions in PE, PE is mounted to the system, select the next restart PE direction key.
Find a software catalog, right-click rename, behind the increase _bak (delete software backward prevent system failure, you can restore).
Open C: \ windows \ system32 \ drivers , right-click the blank space, view detailed information. Right-click the blank space, ordering more, check the company.
Point, arranged by the company, to delete the backup software companies related files (drivers can not just delete, blue can also backup and recovery after the restart).
Will stop here, we are interested in their own research.
