删除Windows顽固启动项Program

最新推荐文章于 2024-04-29 22:19:23 发布
最新推荐文章于 2024-04-29 22:19:23 发布
阅读量1.4k 收藏 4
点赞数
分类专栏: Windows 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41664096/article/details/131893863
版权

卸载软件之后可能会遇到任务管理器中启动项显示有Program这种无效项目的情况

无效项目如图所示:
任务管理器中任务选项卡

解决方法

打开注册表 Win + R
注册表的打开方式

打开注册表后定位到
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
可以直接复制粘贴到地址栏进行跳转

特别说明

注册表中错误的键值有三种可能的路径,分别如下:

用户启动项路径
计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

系统启动项路径1
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

系统启动项路径2
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

勇敢的阿呆
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows任务管理器启动项出现无效项目Program删除方法
weixin_34113237的博客
01-28 1万+
故障情景 当我们卸载软件之后可能会遇到任务管理器中启动项显示有Program这种无效项目的情况 无效项目如图所示: 解决方法 解决这个问题,需要我们打开注册表进行一些操作 注册表打开方法:Windows键+R开启运行对话框,输入regedit并运行 打开注册表后定位到 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\C...
Sysinternals 实用程序全集 (完整版 49.2M)
03-26
文件名:Sysinternals 实用程序全集.rar 文件大小:51,602,772字节 MD5:15A9888D4D11F8D0BAF501E7A2723A39 SHA1:339A24E2A1ACDEE012BA63B165DB2BC1E3455871 CRC32:9A768F7F 大名鼎鼎的Sysinternals工具都应该听说过吧,比较有名的有Process Explorer、TCPView、Autoruns、Filemon、PsTools等。这次发的是这一系列实用工具的全集,这是真正意义上的全集,甚至包括了几个已经被官方宣布退役、不再提供下载的工具。 每个工具都内附mht格式的官方说明,可用IE打开。 这次发的是完整版,不需要分段解压。 ---------------------------------------------------- ★Sysinternals 实用工具:文件和磁盘 AccessChk 此工具向您显示,您所指定的用户或用户组对文件、注册表项或 Windows 服务具有的访问权限。 AccessEnum 这一简单但强大的安全工具可以向您显示,谁可以用何种访问权限访问您系统中的目录、文件和注册表项。使用此工具可查找权限漏洞。 CacheSet CacheSet 是一个允许您利用 NT 提供的功能来控制缓存管理器的工作集大小的程序。它与 NT 的所有版本都兼容。 Contig 您是否希望迅速对您频繁使用的文件进行碎片整理?使用 Contig 优化单个的文件,或者创建连续的新文件。 DiskExt 显示卷磁盘映射 Diskmon 此实用工具会捕捉所有硬盘活动,或者在您的系统任务栏中象软件磁盘活动灯一样工作。 DiskView 图形磁盘扇区实用工具 Du 按目录查看磁盘使用情况 EFSDump 查看有关加密文件的信息 Filemon 此监视工具允许您实时查看文件系统的所有活动。 接合点 创建 Win2K NTFS 符号链接 LDMDump 转储逻辑磁盘管理器在磁盘上的数据库内容,其中说明了 Windows 2000 动态磁盘的分区情况。 MoveFile 为系统下一次重新启动安排文件重命名和删除命令。这对于清除顽固或使用中的恶意文件很有用。 NTFSInfo 用 NTFSInfo 可以查看有关 NTFS 卷的详细信息,包括主文件表 (MFT) 和 MFT 区的大小和位置,以及 NTFS 元数据文件的大小。 PageDefrag 对您的分页文件和注册表配置单元进行碎片整理! PendMoves 查看在系统下一次启动时安排删除或重命名哪些文件。 Process Monitor 实时监视文件系统、注册表、进程、线程和 DLL 活动。 PsFile 查看哪些文件被远程打开 PsTools PsTools 套件包括一些命令行实用工具,可列出在本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志等等。 SDelete 安全地覆盖敏感文件,并使用此符合 DoD 的安全删除程序清理先前删除文件所在的可用空间。 ShareEnum 扫描网络中的文件共享并查看其安全设置,以便堵住安全漏洞。 Sigcheck 转储文件版本信息并检查系统中的映像是否已进行数字签名。 Streams 显示 NTFS 备用数据流 Sync 刷新缓存数据到磁盘 VolumeId 设置 FAT 或 NTFS 驱动器的卷 ID ★Sysinternals 实用工具:安全性 AccessChk 该工具显示您指定的用户或用户组对文件、注册表项或 Windows 服务具有的访问权限。 AccessEnum 这一简单但功能强大的安全工具可以显示哪些用户对您系统中的目录、文件和注册表项具有何种访问权限。使用此工具可查找权限漏洞。 Autologon 在登录过程中跳过密码屏幕。 Autoruns 查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 还能够完整列出应用程序可以配置自动启动设置的注册表和文件位置。 LogonSessions 列出活动的登录会话 NewSID 了解每个人都一直在谈论的计算机 SID 问题并获取免费的计算机 SID 更改器 NewSID。 Process Explorer 找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。 PsExec 使用受限用户权限执行进程。 PsLoggedOn 显示登录到某个系统的用户 PsLogList 转储事件日志记录。 PsTools PsTools 套件包括几款命令行实用工具,可列出正在远程或本地计算机上运行的进程、以远程方式运行进程、重新启动计算机、转储事件日志以及执行其他任务。 RootkitRevealer 扫描系统以找出基于 Rootkit 的恶意软件 SDelete 安全地覆盖敏感文件,并使用这一符合 DoD 的安全删除程序清理先前删除的文件的可用空间。 ShareEnum 扫描网络中的文件共享并查看其安全设置,以便堵住安全漏洞。 Sigcheck 转储文件版本信息并验证系统中的映像已进行数字签名。 ★Sysinternals 实用工具:联网功能 AdRestore 恢复已删除的 Server 2003 Active Directory 对象 PsFile 查看远程打开的文件 PsTools PsTools 套件包括几款命令行工具,可侦听远程或本地计算机上运行的进程、远程运行的进程,还可以重新启动计算机以及转储事件日志等等。 ShareEnum 扫描网络上的文件共享并查看其安全设置,以关闭安全漏洞。 TCPView 活动套接字命令行查看器。 Whois 查看 Internet 地址的所有者。 ★Sysinternals 实用工具:系统信息 Autoruns 查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 也会完整列出应用程序可以配置自动启动设置的注册表和文件位置。 ClockRes 查看系统时钟的分辨率,亦即最大计时器分辨率 Filemon 此监视工具用于实时查看文件系统的所有活动。 Handle 这一方便的命令行实用工具会显示哪些进程打开了哪些文件,以及更多其他信息 LiveKd 使用 Microsoft 内核调试程序检查真实系统。 LoadOrder 查看设备加载到 WinNT/2K 系统中的顺序 LogonSessions 列出系统中的活动登录会话 PendMoves 枚举在系统下一次启动时所要执行的文件重命名和删除命令的列表 Process Explorer 找出进程打开了哪些文件、注册表项和其他对象,已加载了哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。 Process Monitor 实时监视文件系统、注册表、进程、线程和 DLL 活动。 ProcFeatures 这一小程序会报告处理器和 Windows 对“物理地址扩展”和“无执行”缓冲区溢出保护的支持情况。 PsInfo 获取某系统的相关信息 PsLoggedOn 显示登录到某个系统的用户 PsTools PsTools 套件包括几款命令行工具,可侦听远程或本地计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志,以及执行其他任务。 Regmon 此监视工具用于实时查看注册表的所有活动。 Winobj 基本对象管理器命名空间查看器。 ★Sysinternals 实用工具:进程 Autoruns 查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 也可向您显示注册表和文件位置的完整列表,应用程序可在此配置自动启动设置。 Filemon 此监视工具使您可以实时查看文件系统的所有活动。 Handle 此易用命令行实用工具将显示哪些进程打开了哪些文件,以及更多其他信息。 ListDLLs 列出所有当前加载的 DLL,包括加载位置及其版本号。2.0 版将打印已加载模块的完整路径名。 Portmon 通过高级监视工具监视串行端口和并行端口的活动。它能识别所有的标准串行和并行 IOCTL,甚至可以显示部分正在发送和接收的数据。3.x 版具有强大的新 UI 增强功能和高级筛选功能。 Process Explorer 找出进程打开了哪些文件、注册表项和其他对象,已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。 Process Monitor 实时监视文件系统、注册表、进程、线程和 DLL 活动。 PsExec 远程执行进程。 PsKill 终止本地或远程进程。 PsList 显示有关进程和线程的信息。 PsService 查看和控制服务。 PsSuspend 挂起和继续进程。 PsTools PsTools 套件包括几个命令行实用工具,可列出本地或远程计算机上运行的进程、远程运行进程,还可以重新启动计算机以及转储事件日志等等。 Regmon 此监视工具使您可以实时查看注册表的所有活动。 ★Sysinternals Miscellaneous Utilities AD Explorer Active Directory Explorer is an advanced Active Directory (AD) viewer and editor. AdRestore Restore tombstoned Active Directory objects in Server 2003 domains. Autologon Bypass password screen during logon. BgInfo This fully-configurable program automatically generates desktop backgrounds that include important information about the system including IP addresses, computer name, network adapters, and more. BlueScreen This screen saver not only accurately simulates Blue Screens, but simulated reboots as well (complete with CHKDSK), and works on Windows NT 4, Windows 2000, Windows XP, Server 2003 and Windows 9x. Ctrl2cap This is a kernel-mode driver that demonstrates keyboard input filtering just above the keyboard class driver in order to turn caps-locks into control keys. Filtering at this level allows conversion and hiding of keys before NT even "sees" them. Ctrl2cap also shows how to use NtDisplayString() to print messages to the initialization blue-screen. DebugView Another first from Sysinternals: This program intercepts calls made to DbgPrint by device drivers and OutputDebugString made by Win32 programs. It allows for viewing and recording of debug session output on your local machine or across the Internet without an active debugger. Desktops This new utility enables you to create up to four virtual desktops and to use a tray interface or hotkeys to preview what’s on each desktop and easily switch between them. Hex2dec Convert hex numbers to decimal and vice versa. PsLogList Dump event log records. PsTools The PsTools suite includes command-line utilities for listing the processes running on local or remote computers, running processes remotely, rebooting computers, dumping event logs, and more. RegDelNull Scan for and delete Registry keys that contain embedded null-characters that are otherwise undeleteable by standard Registry-editing tools. RegJump Jump to the registry path you specify in Regedit. Strings Search for ANSI and UNICODE strings in binary images. ZoomIt Presentation utility for zooming and drawing on the screen.
win10 开机启动项
hllyzms的博客
06-18 425
win10 开机启动项 AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 把要启动的应用程序启动图标放到此文件加小 C:\用户中心\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
人人都应该掌握的一些电脑操作技巧
03-22
一,巧解任何电脑的开机密码 二,让你的键盘会说话 长期面对无声的电脑,我们难免疲倦。如果正在输入的内容被系统一字(字母)不差地念出来,你还能在无声的疲倦中输入错误的内容吗?以Windows 2000/XP中一个鲜为人知的“讲述人”为例教你DIY一个完全免费的语音键盘。 在“运行”中输入“narrator”,点“确定”。点“确定”跳过后便请出本文的主角──“讲述人”。如果你的音箱已经打开,听到了什么?不想听的话就按一下Ctrl键。再按任意键试试,你输入的字母键被系统用标准的美国英语读了出来,这时一个完全免费的语音键盘就诞生在你的手中了。 三,快速关闭没有响应的程序 “开始→运行”,输入“Regedit”,打开“注册表编辑器”,在HKEY-CURRENT-USER下新建串值Waittokillapptimeout,将其键值设为1000(ms)或更小。 允许强行关机 进入HEKY-USERS.DEFAULTControl Paneldesktop,创建一个字符串“AutoEndTask”,将其键值设为“1”即可。对于真正的死机,一般只能两次按下 “Ctrl+Alt+Del” 组合键或按主机箱上的“Reset”键(因为消耗资源较少,故前者优先)来重新启动了。 系统死机时自动重新启动 进入HKEY_LOCAL_MACHINESystemCurrentControlSetC-o-n-trolCrashControl主键,在右边的窗口中修改“AutoReboot”,将其的键值改为“1”。 四,ESC键不太为人知的几个妙用 对于一般用户而言,位于键盘左上方的ESC键并不常用,但你知道吗?其实借助ESC键还能实现不少快捷操作哦! 1.上网时,如果点错了某个网址,直接按ESC键即可停止打开当前网页。 2.上网时总免不了要填写一些用户名什么的,如果填错了,按ESC键即可清除所有的框内内容;而打字时,如果打错了也可以按ESC键来清除错误的选字框。 3.除了“Ctrl+Alt+Del”组合键可以调出windows任务管理器外,按下“Ctrl+Shift+Esc”组合键一样能启动任务管理器。 4.当某个程序不处于活动状态而我们又想将其恢复为活动状态时,按“Alt+Esc”键即可激活该应用程序,而不必用鼠标点击程序标题栏。 5.对于存在“取消”选项的弹出窗口而言,如果你要选择取消的话,直接按ESC键即可实现“取消”操作 五、加快开关机速度 在Windows XP中关机时,系统会发送消息到运行程序和远程服务器,告诉它们系统要关闭,并等待接到回应后系统才开始关机。加快开机速度,可以先设置自动结束任务,首先找到HKEY_CURRENT_USERControl PanelDesktop,把AutoEndTasks的键值设置为1;然后在该分支下有个“HungAppTimeout”,把它的值改为“4000(或更少),默认为50000;最后再找到 HKEY_LOCAL_MACHINESystemCurrentControlSetControl,同样把 WaitToKillServiceTimeout设置为“4000”;通过这样设置关机速度明显快了不少。 六、提高宽带速度 专业版的Windows XP默认保留了20%的带宽,其实这对于我们个人用户来说是没有什么作用的。尤其让它闲着还不如充分地利用起来。 在“开始→运行”中输入gpedit.msc,打开组策略编辑器。找到“计算机配置→管理模板→网络→QoS数据包调度程序”,选择右边的“限制可保留带宽”,选择“属性”打开限制可保留带宽属性对话框,选择“启用”,并将原来的“20”改为“0”,这样就释放了保留的带宽。 七、优化网上邻居 Windows XP网上邻居在使用时系统会搜索自己的共享目录和可作为网络共享的打印机以及计划任务中和网络相关的计划任务,然后才显示出来,这样速度显然会慢的很多。这些功能对我们没多大用的话,可以将其删除。在注册表编辑器中找到 HKEY_LOCAL_MACHINEsofewareMicrosoftWindowsCurrent VersionExploreRemoteComputerNameSpace,删除其下的(打印机)和{D6277990-4C6A-11CF8D87- 00AA0060F5BF}(计划任务),重新启动电脑,再次访问网上邻居,你会发现快了很多。 八、加快启动速度 要加快Windows XP的启动速度。可以通过修改注册表来达到目的,在注册表编辑器,找到 HKEY_LOCAL_MACHINE---SYSTEM-----Current----ControlSet---Control----Session Manager----Memory Management-----PrefetchParameters,在右边找到EnablePrefetcher主键,把它的默认值3改为1,这样滚动条滚动的时间就会减少; 九、自动关闭停止响应程序 有些时候,XP会提示你某某程序停止响应,很烦,通过修改注册表我们可以让其自行关闭,在HKEY_CURRENT_USER-----Control Panel----Desktop中将字符健值是AutoEndTasks的数值数据更改为1,重新注销或启动即可。 十、加快菜单显示速度 为了加快菜单的显示速度,我们可以按照以下方法进行设置:我们可以在HKEY_CURRENT_USERControl PanelDesktop下找到“MenuShowDelay”主键,把它的值改为“0”就可以达到加快菜单显示速度的效果。 十一、清除内存中不被使用的DLL文件 在注册表的HKKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion,在Explorer增加一个项AlwaysUnloadDLL,默认值设为1。注:如由默认值设定为0则代表停用此功能。 十二、加快预读能力改善开机速度 Windows XP预读设定可提高系统速度,加快开机速度。按照下面的方法进行修改可进一步善用CPU的效率: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerMemoryManagement],?refetchParameters右边窗口,将EnablePrefetcher的数值数据如下更改,如使用PIII 800MHz CPU以上的建议将数值数据更改为4或5,否则建议保留数值数据为默认值即3。 十三、减少启动时加载项目 许多应用程序在安装时都会自作主张添加至系统启动组,每次启动系统都会自动运行,这不仅延长了启动时间,而且启动完成后系统资源已经被消耗掉! 启动“系统配置实用程序”,在“启动”项中列出了系统启动时加载的项目及来源,仔细查看你是否需要它自动加载,否则清除项目前的复选框,加载的项目愈少,启动的速度自然愈快。此项需要重新启动方能生效。 十四、Windows卸载顽固程序精彩技巧 随着网络的普及,网上的软件也越来越多,给大家带来了极大的方便,但有一些软件以IE插件的形式强制安装,无法卸载,顽固地驻留于用户电脑之中;有些软件在安装后,并没有提供卸载程序,即使在控制面板中将其删除,仍然会有残余的线程文件向外发送信息,用户通常只能采用手工的办法去删除,这样操作起来不但麻烦,而且还容易误删系统文件。以下是一些卸载顽固程序比较另类的方法,希望对大家有所帮助。 1、巧用QQ来卸载顽固程序  将QQ安装目录下的unins000.exe文件拷贝到要卸载文件的安装目录,再执行该程序即可!这种办法对于卸载那些反安装程序丢失或者损坏的文件有特效。 2、Winamp的卸载程序可以安全卸载大部分应用程序  首先在“我的电脑”找到Winamp安装目录下的UninstWp.exe程序,复制并粘贴到顽固程序所在的文件夹中,双击运行该程序就可以把顽固程序卸载得干干净净了。   3、运用WinRAR卸载顽固程序  通过其地址栏定位到顽固程序所在文件夹,再点工具栏上的“添加”按纽,此时会弹出“档案文件名字和参数”对话框,在“存档选项”中勾选“存档后删除原文件”点击“确定”,等压缩完成后,WinRAR会自动删除顽固软件文件夹,然后手工将刚生成的压缩包删除,一切搞定。 4、微软反间谍软件完美卸载3721程序 首先下载微软反间谍软件MicrosoftAntiSpywareInstall.exe,界面是英文的,文字相当于高中英语水平,慢慢看能懂,安装后按提示升级最新数据库,执行SCAN后发现100多个3721,CNS*的东西,选择REMOVE,慢慢的微软反间谍软件清除3721,CNS*的东西,再提示重新启动机器;第一次3721还没清除完,在/PROGRAM FILES/下还有3721目录,先卸载网络实名,右键清除开始——程序菜单中的3721条,再运行微软反间谍软件,扫描后发现多个3721,CNS*的东西,但数量比第一次少多了选择,选择REMOVE,清除3721,CNS*的东西,再重新启动机器,这样就彻底清除3721。 5、运用Windows XP附带的Msicuu.exe、Msizap.exe来彻底卸载顽固程序 首先打开Windows XP安装盘,点“Support Tools”,进入硬盘Support Tools安装目录(X:Program FilesSupport Tools),找到Msicuu.exe并双击,于是就会弹出一个“Windows Installer Clean Up”窗口,显示当前已安装的所有程序列表。你从中选择顽固程序,然后单击“Rmove”按钮即可卸载。如果以上方法无效,建议你用Msizap.exe来卸载,即:打开注册表编辑器,定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionUninstall,在左边项中找到顽固程序的标识(例如{268723B7-A994-4286-9F85-B974D5CAFC7B}),然后依次“开始→程序→Windows Support Tools→Command Prompt”命令,在命令提示符后,输入以下命令:msizap T {顽固程序的标识},按回车后即可卸载顽固程序。 6、超级兔子优化王专业卸载功能卸载常见顽固软件及IE插件 首先选择优化王下的“卸载软件”功能,然后切换到“专业卸载”选项卡,此处提供了18种软件的卸载功能。超级兔子优化王软件会自动对系统进行检测,若装有该程序的话此处便会显示“已安装”,接着选中要卸载 十六、常用快捷键
Wsyscheck.exe
11-01
反黑客工具1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。 SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。 2:关于Wsyscheck的颜色显示 进程页: 红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。 服务页: 红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。 使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。 在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。 进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。 在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信) SSDT管理页: 默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。 SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。 使用“恢复所有函数”功能则同时恢复上述两种HOOK。 发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。 活动文件页: 红色显示的常规启动项的内容。 3:关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。” 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。 驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。 4:关于卸载模块 对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的写法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。 5:关于文件删除 驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启可观察到文件已消失。 文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个(因为右键“删除”是删除到回收站)。 对于用以上功能仍删除不了的文件,可以使用Wsyscheck的或“dos删除功能”,使用“dos删除”功能后会在启动菜单中添加一项“删除顽固文件”,执行后自动清理文件并去掉它所添加的启动项。“dos删除”在多系统情况下可能存在一些问题,请慎用。本功能需要将辅件Wdosdel.dat与Wsyscheck放在一起才会显示相关页面。 “重启删除”仅作为驱动无法加载情况下使用的一种辅助手段,“重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。 如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%SystemDrive%\VirusBackup目录中,且将文件名添加.vir后缀以免误执行。 6:关于进程的结束后的反复创建 可以使用进程页的“禁止程序运行”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”功能,,所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。 另外,软件设置下的“禁止进程与文件创建”功能是针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。 开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。 要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。 针对上面的情况,你还可以使用进程中的“线程信息”功能,从线程与模块对应关系中挂起相应的线程,然后结束守护程序或挂起守护程序,再执行直接删除文件功能。 7:关于如何清理木马的简单方法: 最简单的方法是:驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能(即先用强删除功能消灭木马文件),执行完后重启系统,,再清除它的启动项,注册表项等加载途径。 如果遇到较难处理的木马,以下步骤可以作为一个参考: a.如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。 b.如果结束木马进程后反复发现木马启动,可以尝试使用“结束进程并删除文件”或“禁止这个程序运行”,让其不再启动后删除。 还可以配合使用“禁止进程与文件创建”让其不再创建新进程、创建文件无效而清理它。 c.有些木马利用服务启动,请注意一下并判断一下服务页中的红色显示程序。如果状态是STOP,而类型是Auto,则它已运行过一次,所以有可能启动了别的木马程序。 d.强烈建议注意一下“禁用程序管理”,目前利用IFEO禁用杀软或启动木马程序的木马是比较流行的。 e.活动文件页列出了可能的启动途径,所以耐心一点检查一下是否有木马的启动项目。 f.文件搜索中利用“限制时间”条件来搜索近期产生的文件可能有助于您的清理工作。 g.对于检测出的启动项,如果不是十分肯定,可以定位到注册表,将这个启动程序的路径前加上“;”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。 h.对于以Autorun.inf方式启动的木马,可以用工具下的“清除Autorun.inf”功能(可配合“禁止进程与文件创建”使用以取得最好的效果)。如果手动清理,操作中尽量使用Wsyscheck内置的文件管理操作以防双击盘符再次激活木马。在手动删除Autorun.inf文件前用Wsyscheck的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。清理时完后检查一下各盘根目录以保证完全清理了Autorun.inf文件。 i.使用“禁止进程与文件创建”注意一下新增的日志页,以便找到木马的根源。如果在日志页观察到反复写创建文件,反复写注册表,反复创建的进程。当此进程是非系统进程时可以直接关闭并删除它。如果是系统进程,需要手动分析一下该进程的模块(配合查看一下活动页的加载项有助于快速找到木马插入系统进程的模块)。清理文件注册表完成后不要退出“禁止进程与文件创建”,而应直接使用工具下的“重启计算机”,以确保我们的清理成功。 j.对于已确定的木马文件,能直接删除删除,不能直接删除就找到它的启动项删除启并重启系统让系统不再加载此程序后再做文件删除。如果木马保护的比较好,上述方式失效,可以用DOS删除功能先删文件再清理启动项。 8:Wsyscheck可以带参数运行以提高自身的优先级 Wsyscheck 1 高于标准 Wsyscheck 2 高 Wsyscheck 3 实时 例如需要实时启动Wsyscheck,可以编辑一个批处理 RunWs.bat ,内容为 Wsyscheck 3 将RunWs.bat与Wsyscheck放在一起,双击RunWs.bat即可让Wsyscheck以实时优先级启动。 9:随手工具说明(指菜单工具下的子菜单功能) 清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。 清除Autorun.inf:程序分析各盘根目录下的Autorun.inf指向的文件,删除各盘的Autorun.inf及其指向的文件。 修复隐藏文件显示及禁用硬盘自动播放:菜单栏太长写不完,本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。 修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。 构建安全环境:还原SSDT(某些杀软还原SSDT会引起死机,本功能仅测试在Kv系列,Kav6.0下使用没有问题,其它版本请自行测试。如不确定,使用本功能前最好退出杀软进程),只保留系统必须的几个进程,然后执行上述三个子菜单功能。 如果Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。 Wangsea 20071109
删除Windows无法启动的项
PanDaoxi
09-12 646
删除Windows无法启动的项!
程序启动Program
雨水霂
05-31 364
using System; using System.Collections.Generic; using System.Linq; using System.Windows.Forms; using MultilayerERP.UI; using DevExpress.XtraBars; using DevExpress.XtraBars.Ribbon; using DevExpress.XtraBars.Ribbon.Gallery; using DevExpress.XtraBars.Ribbon.I
启动应用程序
岁月无痕
06-16 411
MSDN 2005 -> Win32 和 COM 开发 -> User Interface -> Windows User Experience -> Windows Shell -> Windows Shell -> Shell Programmer's Guide -> Shell Basics -> Launching Applications 定位某文件对象后,程序下一步要做的通常是对其执行某种操作。比如说,程序可能想启动另外一个程序来修改某数据文件。对于可执行文件,程序可能要求简单地启动它。本文讨
为什么电脑启动任务管理器会这样
云淡风轻的博客
07-24 2695
有的时候我们在启动任务管理器的时候会发现以下几种情况 然后找不到自己想要的结束任务或者任务管理器最上面的菜单栏 其实解决的方法很简单   在“结束进程”或者“服务”等旁边的空白处双击即可;
Wsyscheck1216中文版(第二版)
01-04
<br> 对于用以上功能仍删除不了的文件,可以使用Wsyscheck的或“dos删除功能”,使用“dos删除”功能后会在启动菜单中添加一项“删除顽固文件”,执行后自动清理文件并去掉它所添加的启动项。“dos删除”在多...
wsyscheck中文版
06-23
Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。 一般来说,对病毒体的判断主要可以采用查看路径,查看文件名,查看文件创建日期,查看文件厂商,微软文件校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。 最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。 Wsyscheck基本功能简单介绍: 1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。 SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。 2:关于Wsyscheck的颜色显示 进程页: 红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。 服务页: 红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。 使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。 在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。 进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。 在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信) SSDT管理页: 默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。 SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。 使用“恢复所有函数”功能则同时恢复上述两种HOOK。 发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。 活动文件页: 红色显示的常规启动项的内容。 3:关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。” 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。 驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。 4:关于卸载模块 对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的写法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。 5:关于文件删除 驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启后该文件消失。 文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个。 Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面,添加待删除文件并重启,启动菜单中将出现“删除顽固文件”字样,选择后转入Dos删除文件。在某些机器上,若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。) “重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。
程序无法通过开机注册表运行的解决方法
skyyx2002的博客
12-06 1809
一开始还以为是QT写的程序有这个问题。。
启动项详解
jihaichen的博客
05-09 5941
启动项详解启动项目就是开机的时候系统会在前台或者后台运行的程序。当Windows(操作系统)完成登录过程,进程表中出现了很多的进程!Windows在启动的时候,自动加载了很多程序许多程序的自启动,给我们带来了很多方便,这是不争的事实,但不是每个自启动的程序对我们都有用;更甚者,也许有病毒或木马在自启动行列!其实Windows2000/XP中的自启动文件,除了从以前系统中遗留下来的Autoexec....
WPF4 数据模板
weixin_43847546的博客
04-23 433
数据模板常用在3种类型的控件, 下图形式:1.Grid这种列表表格中修改Cell的数据格式, CellTemplate可以修改单元格的展示数据的方式。2.针对列表类型的控件, 例如树形控件,下拉列表,列表控件, 可以修改其中的ItemTemplate。3.修改ContentTemplate, 例UserControl控件的数据展现形式。
scipy.sparse.lil_matrix
Angelaboy的博客
04-23 234
scipy.sparse.lil_matrix
62、回溯-N皇后
qq_29434541的博客
04-26 856
N皇后问题要求在一个n×n的棋盘上放置n个皇后,使得它们不能相互攻击。皇后可以攻击同一行、同一列,以及两个对角线方向上的其他皇后。解决这个问题意味着找到所有可能的棋盘配置,每个配置都符合上述条件。
leetcode51.N皇后(困难)-回溯法
最新发布
qq_40222433的博客
04-29 212
都知道n皇后问题是回溯算法解决的经典问题,但是用回溯解决多了组合、切割、子集、排列问题之后,遇到这种二维矩阵还会有点不知所措。从图中,可以看出,二维矩阵中矩阵的高就是这棵树的高度,矩阵的宽就是树形结构中每一个节点的宽度。确定完约束条件,来看看究竟要怎么去搜索皇后们的位置,其实搜索皇后的位置,可以抽象为一棵树。那么我们用皇后们的约束条件,来回溯搜索这棵树,
js常用方法(未完待续...)
努力奔跑的小不点
04-23 290
根据id数组,在数组对象找到一样的id对象,找到的id名逗号拼接字符串。数组对象重复值过滤(重复只保留一个)数组对象取一部分对象属性到新的数组。数组对象某一列逗号拼接字符串。查找值在数组对象中的下标。两数组合并为一个数组对象。
C语言笔试题之重排链表
qq_41878292的博客
04-26 475
【代码】C语言笔试题之重排链表。
unlocker删除顽固文件
07-27
Unlocker是一款实用的软件,可以帮助用户删除顽固文件。所谓顽固文件,指的是那些由于某些原因无法被正常删除的文件。比如,该文件正在被其他程序占用,或者用户没有删除该文件的权限等等。 使用Unlocker删除顽固文件非常简单。用户只需双击打开Unlocker程序,在程序界面中选择要删除的文件或文件夹,然后点击“删除”按钮即可。Unlocker会自动检测文件是否被占用,并提供解除占用的选项。用户可以选择立即解锁文件,或者在下次启动系统时解锁。完成这些步骤后,Unlocker会重新尝试删除文件,通常能够成功删除问题文件。 除了删除文件外,Unlocker还提供了其他有用的功能。比如,用户可以查看文件被哪个进程占用,甚至可以终止该进程以彻底释放文件。此外,Unlocker还支持批量删除文件,用户只需选中要删除的文件批量处理即可。 需要注意的是,由于Unlocker是一款免费的软件,用户在下载和使用时要小心安全。建议从官方信誉良好的网站进行下载,并定期更新软件版本,以确保获得最新的功能和安全性。此外,如果用户对删除的文件不确定,建议先备份文件,以避免数据丢失。 总之,Unlocker是一款方便实用的软件,可以帮助用户轻松删除顽固文件。它的简单操作和多种功能使其成为解决文件无法删除问题的好帮手。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值