Windows 7 Enterprise x64
それで私はミスをして、インターネットからダウンロードした怪しい実行可能プログラムを実行しました。私はDVDを作成していて、funnyordie.comからビデオをダウンロードする方法がわからなかったので、すぐに外に出てWondershare Allmytubeを試しました。それは私が望んだことをしましたが、それは本当に大ざっぱなようでした、そしてそれは私のラップトップがとても熱心に働き始め、私のファンがユーザー入力なしでキックしたので、私は無線LANをオフにしてすぐにそれをアンインストールしました、そして今私は私が妄想的です一部のボットネットの一部または誰かが私の保存されたchromeパスワード。
アンインストールした後でも、C:/ Program Files(x86)/ Common Files/Wondershare、C:/ Program Files/Common Files/Wondershare、C:/ ProgramData/Wondershareにファイルがあり、.exeが私のデスクトップ。私はこのフォーラムで同じ問題を持つ誰かを見つけました: http://www.smartestcomputing.us.com/topic/71056-wondershare-helper-compact/
唯一の問題は、その解決策がそのユーザーのマシンに固有のものであり、管理者がこのスレッドで提供したfixlist.txtをダウンロードして、彼が何をしたかを確認できないことです。しかし、私はこの人と同じようにFarbar Recovery Scan Toolを実行しました。FRST.txtファイルにWondershareへの参照がいくつか見つかりました。
Registry(Whitelisted)という見出しの下に、次の行が見つかりました。
HKLM-x32 ...\Run:[Wondershare Helper Compact.exe] => C:\ Program Files(x86)\ Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
HKLM-x32 ...\Run:[DelaypluginInstall] => C:\ ProgramData\Wondershare\AllMyTube\DelayPluginI.exe
Internet(Whitelisted)という見出しの下で、次の行を見つけました。
BHO-x32:Wondershare AllMyTube 4.2.0-> {067DF9EC-26B7-40DC-8DB8-CD8BE85AE367}-> C:\ ProgramData\Wondershare\AllMyTube\WSBrowserAppMgr.dllファイルなし
Firefoxという見出しの下に、次の行が見つかりました。
FF HKLM-x32 ...\Firefox\Extensions:[[email protected]]-C:\ ProgramData\Wondershare\AllMyTube\[email protected]
ホワイトリストからWondershareへのすべての参照を削除するにはどうすればよいですか?これはセキュリティの脅威のようで、パッチを当てようとしています。 (malwarebytesも実行し、いくつかの脅威を検出して削除しました。)この問題を正しい方法で見ていますか?
Wondershareと今はiSkysoft(iSkysoftビデオエディターを試してみました)は、マルウェアに似たいくつかの動作を示しているように見えます。非表示のソフトウェアがインストールされ、アンインストール後もバックグラウンドで常に実行されるように設定されています。これは非常に「失礼」です。それが行ったことを整理するための私の努力において、私は以下に頼りました。
{249694CE-7F79-4224-A555-11B445F947AB}
_を検索し、それらの結果から親キーも確認しました)。これらのキーの一部は実際には異なる名前の同じキーであるため、最終的な結果は多少冗長になりますが、同じキーを複数回削除しても、害を与えたり、エラーを報告したりすることはありません。_Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_CLASSES_ROOT\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_CLASSES_ROOT\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]
[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]
[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[-HKEY_CLASSES_ROOT\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]
[-HKEY_CLASSES_ROOT\Interface\{0FA988D3-BA51-48AD-A518-6462CD5FF547}]
[-HKEY_CLASSES_ROOT\Interface\{225BE4D8-64CA-49B1-9630-917F2D92F452}]
[-HKEY_CLASSES_ROOT\Interface\{36B0BA4B-20B5-4369-BBCA-9FAADC8EAC19}]
[-HKEY_CLASSES_ROOT\Interface\{46884330-13BA-4AC9-BEDC-3A2E955EB8DA}]
[-HKEY_CLASSES_ROOT\Interface\{4D3609D2-1D8A-4E9F-884B-438AFDDECB86}]
[-HKEY_CLASSES_ROOT\Interface\{55DB3C89-37B9-41E8-87CC-7C578D2F5374}]
[-HKEY_CLASSES_ROOT\Interface\{5610D1A9-5B54-4E77-9190-94FF9E59AFBA}]
[-HKEY_CLASSES_ROOT\Interface\{70AC1FC1-A22B-4327-9A54-754B9301A056}]
[-HKEY_CLASSES_ROOT\Interface\{B76550E2-048B-4D8C-B432-4668A54EDEA3}]
[-HKEY_CLASSES_ROOT\Interface\{C5CAFA8E-F69D-4E6F-9BF3-1F4522AFD4BE}]
[-HKEY_CLASSES_ROOT\Interface\{E1839CDE-A191-4DA4-9FCE-178A88318DF4}]
[-HKEY_CLASSES_ROOT\Interface\{E5E91D68-955D-4DE1-AB8E-89B26DF6A331}]
[-HKEY_CLASSES_ROOT\Interface\{E90BA470-0728-47E6-B2E7-0ED0C0CFEA8F}]
[-HKEY_CLASSES_ROOT\Interface\{F0ABE7E0-32E3-472E-924C-162B1996DC23}]
[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{6E993643-8FBC-44FE-BC85-D318495C4D96}]
[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]
[-HKEY_CURRENT_USER\SOFTWARE\BugSplat]
[-HKEY_CURRENT_USER\SOFTWARE\Wondershare]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32]
"Wondershare Helper Compact.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run]
"Wondershare Helper Compact.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Wondershare]
_
REGファイルを保存して実行します。メッセージがレジストリに情報を「追加した」と言っているという事実を無視します。実際には、これらのキーと値をすべて削除し、何も追加していません。
次に、タスクマネージャーでWondershare Studioと呼ばれるプロセスを確認します。これはREGファイルを実行する前に実行されていたと思いますが、その後はなくなるようです。それがまだそこにあるなら、私はそれを強制的に終わらせたでしょう。
最後に、次のディレクトリを削除しても安全です。これは64ビットOS上のディレクトリの名前であり、32ビットOSを使用している場合、_(x86)
_の一部は、道:
C:\Program Files (x86)\Common Files\Wondershare
それは私が片付けるために見つけることができたのと同じくらい多くです。
注: 32ビットOSで上記のREGファイルを使用することはお勧めしません。32ビットウィンドウでは、すべてのWOW6432Nodeビットがなくても、レジストリの構造が異なるためです。
このWondershareの問題について、別のWebサイトで役立つヒントを見つけました。
Wondershare
と入力すると、ファイルのインスタンスが(1つずつ)呼び出されます。Wondershareを備えた30の異なるレジストリキーがあったに違いない。コンピュータは今素晴らしい働きをしています。