关于流氓软件,想必大家都听说过(也见识过),在这里主要讲一些关于推广行为(广告和捆绑安装等)的软件,也就是那些令人深恶痛绝的软件。
这里特别提到快压(因为我最近就碰到),关于快压请查看火绒官方的分析https://www.huorong.cn/info/1531309921141.html(看完你会觉得这流氓行为没什么软件有得一比了)
这里给几个国内代理的软件的无广告版
Flash Player - https://blog.csdn.net/qq_41515678/article/details/107037374
WinRar - https://rarlab.com 的非简体中文版 (中文版已失效,我正在努力汉化中)
如果你只想去掉广告(推广行为)
- 防弹窗软件
各大主流杀毒软件(除了目前的Windows Defender等),在拓展工具中都有,使用方法自行搜索,如果没有防弹窗的,建议搜索下载一个防弹窗软件(如果能力强的,建议把弹窗在注册类名时,把RegisterWindow给Hook掉)
这里推荐一个独立的软件(功能不怎么强,基于实时监测,PostMessage和mouse_event,对于快压几乎没用)
- 删除或禁用程序进程
如果效果不满意,或者想更近一步的,对于单独进程,打开任务管理器,找到文件名,右键打开文件位置,
判断是否只是谈广告的程序,如果是,现在有两个方法,
(1) 重命名(不建议删掉)
(注:可能需要修改权限才能删掉,关于修改权限请自行搜索,以及,这个办法去掉的可能会引起软件无法使用)
对于普通的软件来说,这个已经没辙了,但对于本文讲的流氓之极的快压来说,无济于事,那家伙继续在网上下载广告程序,随机命名目录,一点用都没有
(2) 添加禁止启动项(对于特定名称的程序)
[1] 打开gpedit.msc (非专业版用户请先自行搜索怎么把组策略安装上去)
[2]依次展开 用户配置-管理模板-系统 ,点击 不运行指定的Windows应用程序
名称直接添加那个弹窗程序的名称(注意包括后缀名)
然后一直确定即可,你可以启动那个弹窗程序验证一下,如果成功,你将会看到
注意:这个只能限制程序名对于的程序,也就是说,把程序名字改一个就没用了,这招对于cmd.exe启动的控制台程序也无效(不知道是不是CreateProcess创建的子系统为控制台的程序,不过肯定的是,对于那些广告弹窗程序有效,因为不是控制台为子系统) - 卸载(卸载不掉看后面教程)
如果有捆绑软件安装
如果你安装了类似快压流氓行为的软件,你会发现,你没安装程序却电脑多了几个软件,那就是捆绑安装,对于快压的捆绑安装我特别提一下,对于启用了UAC的系统,它转向Local文件夹安装程序,随机重命名推广程序,防不胜防
- 首推卸载(对于快压等依然是卸载不掉的看后面教程)
- 单独进程运行捆绑安装的情况
类似于去掉单独进程的广告,只是把广告改为推广软件,而查找推广软件比较麻烦
其他的,对于主进程安装捆绑软件,这个有点难(建议杀毒软件禁止捆绑安装)
开刀(卸载)
- 自带卸载程序(常规卸载方法)
打开控制面板-程序与功能,找到那个你要卸载的程序,双击,卸载
如果没找到,找到那个程序的目录(任务管理器,找到进程名称,右键打开所在位置),其下应该有名称类似如下的程序(其中一个)
Installer.exe
Uninstaller.exe
unin0000.exe
点击启动,卸载 - 杀毒软件干掉(对于那些流氓软件根本没考虑离开这个系统的)
这个不同的杀毒软件可搜索查询使用方法,一般是找到主程序,右键点击强制卸载 - 手动清理(对于杀毒软件不起用的,没这个功能的)
在此之前建议把所有有关该软件的启动项,服务,以及相关驱动禁用(看名称时仔细点)
启动项
Windows7在msconfig-启动
Windwos10在 任务管理器-启动
服务
启动services.msc,将每一个该软件的服务的服务类型改为禁用
碰到无法禁用的暂且跳过,在属性中记下服务的程序名称,如
然后停止该服务
驱动
自行搜索删除驱动,此过程将会有风险
首先到任务管理器干掉所有有关进程
找到流氓软件的老巢(软件路径),到上一层文件夹,对那个软件目录,右键删除(建议直接按Shift+Delete直接删除,提示UAC权限请允许,无法删除的见下面)
然后(流氓软件的套路)它将会提示有几个文件已经被打开(如果没有,那么这软件还不怎么流氓,直接到删除残余文件那一步,以下跳过)
到下面的文件夹目录找到那(几)个dll(如果有exe说明你没把进程清干净,那么回到上面,再次重来)
打开命令提示符(cmd.exe,无需管理员权限,为了方便,建议管理员权限),输入
cd /d <dll所在文件夹>
tasklist /m <dll名称>
<dll名称> 包括后缀,如
终止上面(不是我的图)所有指定的进程(可能需要管理员权限启动cmd,注意当前文件夹路径,你也可以用任务管理器关闭)
taskkill /pid <PID> /f
<PID> 上面提示的PID列表
注:流氓软件通常挂钩explorer.exe,如果发现此过程中桌面关闭了,不要急,依次关闭上面所有的进程,删除文件后,再输入explorer.exe并回车
删除文件(输入del <dll名称>回车)
依次循环这些过程,直到把所有残留文件给删掉(命令提示符就不用重新启动了)
如果过程中不小心把cmd给关了,explorer又没打开,那么,按下Ctrl+Shift+Esc打开任务管理器,或者Ctrl+Alt+Del注销再登陆
- 启动安全模式(最厉害的方法,对付病毒和杀毒程序都可以)
Windows7 开机时(按下电源按钮一直)按F8,到恢复界面,以带有命令提示符的安全模式启动
按下Windows+R,打开命令提示符
Windows10 设置-更新与安全-恢复
按下这个按钮,等待重启 高级选项(好像是这个名称)-命令提示符
接下来是共同步骤了
cd /d <软件所在目录的上一层>
del /s /q <软件目录名称>;希望你还记得
如果禁用服务失败的,这里添加sc config 服务名 start= disabled,注意,‘=’后面又一个空格
shutdown /r;重启系统
这次保证那个软件的老巢被删了(如果目录是正确的话)
重启后,软件本体已经删除(对于快压那些依然会弹出广告,详情看残余文件清理)
残余清理
文件清理
软件是卸载了,但是在注册表和Local文件夹依然有大量的残余(甚至某些流氓软件的残余还会再次下载安装程序把软件安装回来,某些软件还会继续弹广告(没错,又是快压))
针对弹窗,如果程序在C:\Users\用户名\AppData\其中一个文件夹\下,直接任务管理器关掉进程,删除那个文件夹(又有dll文件残余的请仿照手动清理)
如果不在那个文件夹,建议重命名文件(应该没有软件流氓到把广告弹窗程序放C:\Windows\System32文件夹)
针对把软件安装回来的()
启动项清理
打开regedit.exe,依次找到下面几个位置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
接下来几个是不常见的(如果任务管理器里面的几个都被找到了,下面就不用找了)
HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts
如果里面仍然有与那个软件相关的,直接删掉键
服务清理
打开regedit.exe,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,在下面找那个软件的服务,为了速度,方法如下(这里只是示例)
确认下面的ImagePath启动的服务名称与其相同,然后,下一步应该很明显了,删除
驱动残留
风险太大,而且小的流氓软件不会达到这种地步,建议保留
如果仍然有影响(或者强迫症),自行搜索
这里就该说结束了,希望国产的部分软件以后少一些流氓行为
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
