web-dev-qa-db-ja.com

WindowsからWondershare Allmytubeを完全に削除する方法[Farbar Recovery Scan Toolを使用]

Windows 7 Enterprise x64

それで私はミスをして、インターネットからダウンロードした怪しい実行可能プログラムを実行しました。私はDVDを作成していて、funnyordie.comからビデオをダウンロードする方法がわからなかったので、すぐに外に出てWondershare Allmytubeを試しました。それは私が望んだことをしましたが、それは本当に大ざっぱなようでした、そしてそれは私のラップトップがとても熱心に働き始め、私のファンがユーザー入力なしでキックしたので、私は無線LANをオフにしてすぐにそれをアンインストールしました、そして今私は私が妄想的です一部のボットネットの一部または誰かが私の保存されたchromeパスワード。

アンインストールした後でも、C:/ Program Files(x86)/ Common Files/Wondershare、C:/ Program Files/Common Files/Wondershare、C:/ ProgramData/Wondershareにファイルがあり、.exeが私のデスクトップ。私はこのフォーラムで同じ問題を持つ誰かを見つけました: http://www.smartestcomputing.us.com/topic/71056-wondershare-helper-compact/

唯一の問題は、その解決策がそのユーザーのマシンに固有のものであり、管理者がこのスレッドで提供したfixlist.txtをダウンロードして、彼が何をしたかを確認できないことです。しかし、私はこの人と同じようにFarbar Recovery Scan Toolを実行しました。FRST.txtファイルにWondershareへの参照がいくつか見つかりました。

Registry(Whitelisted)という見出しの下に、次の行が見つかりました。

HKLM-x32 ...\Run:[Wondershare Helper Compact.exe] => C:\ Program Files(x86)\ Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe

HKLM-x32 ...\Run:[DelaypluginInstall] => C:\ ProgramData\Wondershare\AllMyTube\DelayPluginI.exe

Internet(Whitelisted)という見出しの下で、次の行を見つけました。

BHO-x32:Wondershare AllMyTube 4.2.0-> {067DF9EC-26B7-40DC-8DB8-CD8BE85AE367}-> C:\ ProgramData\Wondershare\AllMyTube\WSBrowserAppMgr.dllファイルなし

Firefoxという見出しの下に、次の行が見つかりました。

FF HKLM-x32 ...\Firefox\Extensions:[[email protected]]-C:\ ProgramData\Wondershare\AllMyTube\[email protected]

ホワイトリストからWondershareへのすべての参照を削除するにはどうすればよいですか?これはセキュリティの脅威のようで、パッチを当てようとしています。 (malwarebytesも実行し、いくつかの脅威を検出して削除しました。)この問題を正しい方法で見ていますか?

5
user1952534

Wondershareと今はiSkysoft(iSkysoftビデオエディターを試してみました)は、マルウェアに似たいくつかの動作を示しているように見えます。非表示のソフトウェアがインストールされ、アンインストール後もバックグラウンドで常に実行されるように設定されています。これは非常に「失礼」です。それが行ったことを整理するための私の努力において、私は以下に頼りました。

  1. 次のテキストを含む.REGファイルを作成します。これらはWondeshareに厳密に関連付けられていると判断したため、削除するレジストリキーと値を表しています。それらを識別するために、レジストリで「wondershare」を検索し、wondershareファイルに固有のレベルの結果を含む親キーを確認しました。次に、以前の検索で見つかったTypeLib GUIDをレジストリで再度検索することにより、それらへの間接参照を検索しました(たとえば、_{249694CE-7F79-4224-A555-11B445F947AB}_を検索し、それらの結果から親キーも確認しました)。これらのキーの一部は実際には異なる名前の同じキーであるため、最終的な結果は多少冗長になりますが、同じキーを複数回削除しても、害を与えたり、エラーを報告したりすることはありません。

_Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_CLASSES_ROOT\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_CLASSES_ROOT\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]

[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[-HKEY_CLASSES_ROOT\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]

[-HKEY_CLASSES_ROOT\Interface\{0FA988D3-BA51-48AD-A518-6462CD5FF547}]

[-HKEY_CLASSES_ROOT\Interface\{225BE4D8-64CA-49B1-9630-917F2D92F452}]

[-HKEY_CLASSES_ROOT\Interface\{36B0BA4B-20B5-4369-BBCA-9FAADC8EAC19}]

[-HKEY_CLASSES_ROOT\Interface\{46884330-13BA-4AC9-BEDC-3A2E955EB8DA}]

[-HKEY_CLASSES_ROOT\Interface\{4D3609D2-1D8A-4E9F-884B-438AFDDECB86}]

[-HKEY_CLASSES_ROOT\Interface\{55DB3C89-37B9-41E8-87CC-7C578D2F5374}]

[-HKEY_CLASSES_ROOT\Interface\{5610D1A9-5B54-4E77-9190-94FF9E59AFBA}]

[-HKEY_CLASSES_ROOT\Interface\{70AC1FC1-A22B-4327-9A54-754B9301A056}]

[-HKEY_CLASSES_ROOT\Interface\{B76550E2-048B-4D8C-B432-4668A54EDEA3}]

[-HKEY_CLASSES_ROOT\Interface\{C5CAFA8E-F69D-4E6F-9BF3-1F4522AFD4BE}]

[-HKEY_CLASSES_ROOT\Interface\{E1839CDE-A191-4DA4-9FCE-178A88318DF4}]

[-HKEY_CLASSES_ROOT\Interface\{E5E91D68-955D-4DE1-AB8E-89B26DF6A331}]

[-HKEY_CLASSES_ROOT\Interface\{E90BA470-0728-47E6-B2E7-0ED0C0CFEA8F}]

[-HKEY_CLASSES_ROOT\Interface\{F0ABE7E0-32E3-472E-924C-162B1996DC23}]

[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{6E993643-8FBC-44FE-BC85-D318495C4D96}]

[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]

[-HKEY_CURRENT_USER\SOFTWARE\BugSplat]

[-HKEY_CURRENT_USER\SOFTWARE\Wondershare]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32]
"Wondershare Helper Compact.exe"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run]
"Wondershare Helper Compact.exe"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Wondershare]
_

  1. REGファイルを保存して実行します。メッセージがレジストリに情報を「追加した」と言っているという事実を無視します。実際には、これらのキーと値をすべて削除し、何も追加していません。

  2. 次に、タスクマネージャーでWondershare Studioと呼ばれるプロセスを確認します。これはREGファイルを実行する前に実行されていたと思いますが、その後はなくなるようです。それがまだそこにあるなら、私はそれを強制的に終わらせたでしょう。

  3. 最後に、次のディレクトリを削除しても安全です。これは64ビットOS上のディレクトリの名前であり、32ビットOSを使用している場合、_(x86)_の一部は、道:

    C:\Program Files (x86)\Common Files\Wondershare

それは私が片付けるために見つけることができたのと同じくらい多くです。

注: 32ビットOSで上記のREGファイルを使用することはお勧めしません。32ビットウィンドウでは、すべてのWOW6432Nodeビットがなくても、レジストリの構造が異なるためです。

6
BlueMonkMN

このWondershareの問題について、別のWebサイトで役立つヒントを見つけました。

  1. レジストリエディターに移動します。
  2. すべてのファイルを折りたたみます。
  3. 「編集」の下に行き、「検索」を押します-Wondershareと入力すると、ファイルのインスタンスが(1つずつ)呼び出されます。
  4. 手動で削除する必要があります。
  5. ヒット F3 レジストリ全体を調べるまで、ファイルの次のインスタンスを見つけます。

Wondershareを備えた30の異なるレジストリキーがあったに違いない。コンピュータは今素晴らしい働きをしています。

1
TERESA