5

Windows 7 Enterprise x64

Поэтому я допустил ошибку и запустил сомнительную исполняемую программу, загруженную из Интернета. Я делал DVD, и я не знал, как скачивать видео с funnyordie.com, поэтому я остановился и попробовал Wondershare Allmytube. Он сделал то, что я хотел, но он казался очень схематичным, и это заставило мой ноутбук начать работать так усердно, что мой вентилятор включился без какого-либо вмешательства пользователя, поэтому я выключил Wi-Fi и удалил его сразу, и теперь я параноидален, что я часть какого-то ботнета или кто-то получил мои сохраненные пароли Chrome.

Даже после того, как я удалил его, в C:/Program Files (x86)/Common Files/Wondershare, C:/Program Files/Common Files/Wondershare, C:/ProgramData/Wondershare были файлы, и был .exe-файл на мой рабочий стол. Я нашел кого-то с такой же проблемой на этом форуме: http://www.smartestcomputing.us.com/topic/71056-wondershare-helper-compact/

Единственная проблема в том, что их решение было специфичным для компьютера этого пользователя, и я не могу скачать fixlist.txt, предоставленный администратором в этой теме, чтобы увидеть, что он сделал. Тем не менее, я запустил Farbar Recovery Scan Tool, как и этот человек, и нашел некоторые ссылки на Wondershare в файле FRST.txt .

Под заголовком Реестр (в белом списке) я нашел следующие строки:

HKLM-x32 ...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\ Общие файлы \ Wondershare \ Wondershare Helper Compact \ WSHelper.exe

HKLM-x32 ...\Run: [DelaypluginInstall] => C:\ProgramData\Wondershare\AllMyTube\DelayPluginI.exe

Под заголовком Интернет (в белом списке) я нашел следующую строку:

BHO-x32: Wondershare AllMyTube 4.2.0 -> {067DF9EC-26B7-40DC-8DB8-CD8BE85AE367} -> C:\ProgramData\Wondershare\AllMyTube\WSBrowserAppMgr.dll Нет файла

Под заголовком Firefox я нашел следующую строку:

FF HKLM-x32 ...\Firefox\Extensions: [AllMyTube@Wondershare.com] - C:\ProgramData\Wondershare\AllMyTube\AllMyTube@Wondershare.com

Как убрать все ссылки на Wondershare из белого списка? Похоже, это угроза безопасности, и я пытаюсь ее исправить. (Я также запустил вредоносные байты, и он обнаружил и удалил несколько угроз.) Я смотрю на эту проблему правильно?

|источник

5 ответов5

6

Wondershare и теперь iSkysoft (я пробовал iSkysoft Video Editor), похоже, демонстрируют некоторые поведения, подобные вредоносным, в том, что скрытая часть программного обеспечения установлена и настроена на постоянную работу в фоновом режиме даже после удаления. Это очень "грубо". В моих попытках очистить то, что он сделал, я прибег к следующему.

  1. Создать .REG-файл, содержащий следующий текст. Они представляют собой ключи реестра и значения, которые необходимо удалить, потому что я решил, что они строго связаны с Wondeshare. Чтобы идентифицировать их, я искал в реестре "wondershare" и отметил родительские ключи, содержащие результаты, на уровне, специфичном для файлов Wondershare. Затем я искал косвенные ссылки на них, снова выполнив поиск в реестре идентификаторов GUID TypeLib, которые были найдены предыдущим поиском (например, я искал {249694CE-7F79-4224-A555-11B445F947AB} и отметил родительские ключи из этих результатов как Что ж). Окончательный результат несколько избыточен, поскольку некоторые из этих ключей на самом деле являются одним и тем же ключом под разными именами, но многократное удаление одного и того же ключа не повредит и не сообщит об ошибке.
Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_CLASSES_ROOT\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_CLASSES_ROOT\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]

[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[-HKEY_CLASSES_ROOT\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]

[-HKEY_CLASSES_ROOT\Interface\{0FA988D3-BA51-48AD-A518-6462CD5FF547}]

[-HKEY_CLASSES_ROOT\Interface\{225BE4D8-64CA-49B1-9630-917F2D92F452}]

[-HKEY_CLASSES_ROOT\Interface\{36B0BA4B-20B5-4369-BBCA-9FAADC8EAC19}]

[-HKEY_CLASSES_ROOT\Interface\{46884330-13BA-4AC9-BEDC-3A2E955EB8DA}]

[-HKEY_CLASSES_ROOT\Interface\{4D3609D2-1D8A-4E9F-884B-438AFDDECB86}]

[-HKEY_CLASSES_ROOT\Interface\{55DB3C89-37B9-41E8-87CC-7C578D2F5374}]

[-HKEY_CLASSES_ROOT\Interface\{5610D1A9-5B54-4E77-9190-94FF9E59AFBA}]

[-HKEY_CLASSES_ROOT\Interface\{70AC1FC1-A22B-4327-9A54-754B9301A056}]

[-HKEY_CLASSES_ROOT\Interface\{B76550E2-048B-4D8C-B432-4668A54EDEA3}]

[-HKEY_CLASSES_ROOT\Interface\{C5CAFA8E-F69D-4E6F-9BF3-1F4522AFD4BE}]

[-HKEY_CLASSES_ROOT\Interface\{E1839CDE-A191-4DA4-9FCE-178A88318DF4}]

[-HKEY_CLASSES_ROOT\Interface\{E5E91D68-955D-4DE1-AB8E-89B26DF6A331}]

[-HKEY_CLASSES_ROOT\Interface\{E90BA470-0728-47E6-B2E7-0ED0C0CFEA8F}]

[-HKEY_CLASSES_ROOT\Interface\{F0ABE7E0-32E3-472E-924C-162B1996DC23}]

[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{6E993643-8FBC-44FE-BC85-D318495C4D96}]

[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]

[-HKEY_CURRENT_USER\SOFTWARE\BugSplat]

[-HKEY_CURRENT_USER\SOFTWARE\Wondershare]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32]
"Wondershare Helper Compact.exe"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run]
"Wondershare Helper Compact.exe"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Wondershare]

  1. Сохраните и запустите файл REG. Не обращайте внимания на то, что в сообщении говорится, что оно "добавило" информацию в реестр. На самом деле он просто удалил все эти ключи и значения и ничего не добавил.

  2. Затем проверьте диспетчер задач для процесса под названием Wondershare Studio. Я думаю, что это работало до того, как я запустил файл REG, но после этого казалось, что оно исчезло. Если бы он все еще был там, я бы окончательно покончил с этим.

  3. Наконец, следует безопасно удалить следующий каталог, отметив, что это имя каталога в 64-разрядной ОС, и если у вас 32-разрядная ОС, фрагмент (x86) не будет частью пути:

    C:\Program Files (x86)\Common Files\Wondershare

Это столько, сколько я смог найти для очистки.

Примечание. Я не рекомендую использовать указанный выше REG-файл в 32-разрядной ОС, поскольку 32-разрядные окна по-разному структурируют реестр без всех битов WOW6432Node.

|источник
1

Я нашел полезный совет на другом сайте об этой проблеме Wondershare.

  1. Зайдите в редактор реестра.
  2. Свернуть все файлы.
  3. Зайдите в "edit" и нажмите "find" - введите Wondershare и он вызовет экземпляры файла (один за другим).
  4. Вы должны удалить их вручную.
  5. Нажмите F3, чтобы найти следующий экземпляр файла, пока не пройдете весь реестр.

Бьюсь об заклад, у меня было 30 различных ключей реестра с Wondershare на нем. Компьютер работает отлично сейчас.

|источник
-1

У меня такая же проблема. Я удалил Wondershare с панели управления, но при перезагрузке каждый раз появляется диалоговое окно с сообщением о том, что "wondershare helper compact" хочет изменить систему. Я перешел в стандартный режим очистки от вредоносных программ: откройте regedit и найдите wshelper.exe. Вы найдете много матчей, но вы можете игнорировать большинство из них. Нажимайте F3, чтобы найти следующее совпадение, пока в конце концов не найдете совпадение, находящееся внутри клавиши RUN. Клавиши "RUN" важны, потому что именно так программное обеспечение подключается к последовательности запуска компьютера. Как только вы нашли значение wshelper.exe под ключом RUN, удалите его. * Будьте осторожны, чтобы не удалить ничего, кроме значения wshelper.exe. Если вы случайно удалите что-либо еще, вы можете повредить свой компьютер. Следуйте этой процедуре, только если у вас есть опыт. Также создайте резервную копию реестра, создав точку восстановления на панели управления. * У вас может быть несколько ключей "RUN" (в моем случае у моего компьютера есть подузел перенаправления WOW6432, поэтому у меня есть два ключа RUN), поэтому продолжайте искать любые ключи RUN. где wshelper.exe может скрываться. Затем я сделал перезагрузку, и у меня больше не было надоедливых диалоговых окон помощника Wondershare. Я не удосужился почистить все остальные записи реестра и папки на жестком диске, потому что я счастлив, что все это отцеплено и не активно. Я надеюсь, что это помогает людям в такой же ситуации.

|источник
-1

Даже после того, как вы выполняете обычный путь установки / удаления программ удаления Wondershare, когда вы выполняете поиск, в вашей системе все еще остается много файлов. Если вы попытаетесь удалить их, он откажется, потому что "он открыт". Обычно это помощник Wondershare, который остается открытым, что предотвращает удаление файлов. Перейдите на control.alt.delete, откройте процессы, найдите помощника и завершите задачу, затем выполните поиск Wondershare и удалите все оставшиеся файлы.

|источник
-1

Я нашел контроль.ЧередующийсяУдалить затем Процессы. Удалите все под Wondershare, затем вернитесь к обычному деинсталлеру и удалите. Работал для меня

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .