ฉันจะลบ Wondershare Allmytube ออกจาก Windows อย่างสมบูรณ์ [โดยใช้เครื่องมือสแกนการกู้คืน Farbar] ได้อย่างไร

5

Windows 7 Enterprise x64

ดังนั้นฉันจึงทำผิดพลาดและรันโปรแกรมปฏิบัติการที่น่าสงสัยที่ดาวน์โหลดจากอินเทอร์เน็ต ฉันกำลังสร้าง dvd และไม่รู้วิธีการดาวน์โหลดวิดีโอจาก funnyordie.com ดังนั้นฉันจึงออกไปบนกิ่งไม้และลอง Wondershare Allmytube มันทำในสิ่งที่ฉันต้องการ แต่มันดูเหมือนว่าร่างจริง ๆ และมันทำให้แล็ปท็อปของฉันเริ่มทำงานหนักจนแฟนของฉันเตะโดยไม่มีการป้อนข้อมูลจากผู้ใช้ดังนั้นฉันจึงปิด wifi และถอนการติดตั้งทันทีและตอนนี้ฉันหวาดระแวงว่าฉัน ส่วนหนึ่งของบ็อตเน็ตหรือบางคนได้รหัสผ่านของโครมที่ฉันบันทึกไว้

แม้หลังจากที่ฉันถอนการติดตั้งมันยังมีไฟล์ใน C: / Program Files (x86) / ไฟล์ทั่วไป / Wondershare, C: / ไฟล์โปรแกรม / ไฟล์ทั่วไป / Wondershare, C: / ProgramData / Wondershare และมี. exe บน เดสก์ท็อปของฉัน ฉันพบคนที่มีปัญหาเดียวกันในฟอรัมนี้: http://www.smartestcomputing.us.com/topic/71056-wondershare-helper-compact/

ปัญหาเดียวก็คือโซลูชันของพวกเขาเฉพาะกับเครื่องของผู้ใช้นั้นและฉันไม่สามารถดาวน์โหลด fixlist.txt จัดทำโดยผู้ดูแลระบบในหัวข้อนี้เพื่อดูสิ่งที่เขาทำ อย่างไรก็ตามฉันรันเครื่องมือสแกนการกู้คืน Farbar เหมือนที่คนนี้ทำและฉันพบการอ้างอิงถึง Wondershare ใน FRST.txt ไฟล์.

ภายใต้หัวข้อ รีจิสทรี (รายการที่อนุญาต) ฉันพบบรรทัดเหล่านี้:

HKLM-x32 ... \ Run: [Wondershare Helper Compact.exe] = & gt; C: \ Program Files (x86) \ Common Files \ Wondershare \ Wondershare ตัวช่วยเหลือ Compact \ WSHelper.exe

HKLM-x32 ... \ Run: [DelaypluginInstall] = & gt; C: \ ProgramData \ Wondershare \ AllMyTube \ DelayPluginI.exe

ภายใต้หัวข้อ อินเทอร์เน็ต (รายการที่อนุญาต) ฉันพบบรรทัดนี้:

BHO-x32: Wondershare AllMyTube 4.2.0 - & gt; {067DF9EC-26B7-40DC-8DB8-CD8BE85AE367} - & gt; C: \ ProgramData \ Wondershare \ AllMyTube \ WSBrowserAppMgr.dll ไม่มีไฟล์

ภายใต้หัวข้อ Firefox ฉันพบบรรทัดนี้:

FF HKLM-x32 ... \ Firefox \ ส่วนขยาย: [AllMyTube@Wondershare.com] - C: \ ProgramData \ Wondershare \ AllMyTube \ AllMyTube@Wondershare.com

ฉันจะนำการอ้างอิงทั้งหมดไปยัง Wondershare จากบัญชีขาวได้อย่างไร ดูเหมือนว่าเป็นภัยคุกคามความปลอดภัยและฉันพยายามที่จะแก้ไข (ฉันเรียกใช้ Malwarebytes ด้วยและตรวจพบและลบภัยคุกคามต่าง ๆ ) ฉันดูปัญหานี้อย่างถูกวิธีหรือไม่

windows-7  security  windows-registry  malware  malware-removal 
user1952534
แหล่งที่มา
DavidPostill

คำตอบ:

6

Wondershare และตอนนี้ iSkysoft (ฉันลองใช้ iSkysoft Video Editor) ดูเหมือนจะแสดงพฤติกรรมบางอย่างที่คล้ายกับมัลแวร์ซึ่งมีซอฟต์แวร์ที่ซ่อนอยู่ติดตั้งอยู่ นี่คือ "หยาบ" มาก ในความพยายามของฉันที่จะทำความสะอาดสิ่งที่ทำไปแล้วฉันได้ใช้วิธีดังต่อไปนี้

  1. สร้างไฟล์. REG ที่มีข้อความต่อไปนี้ สิ่งเหล่านี้แสดงถึงรีจิสตรีคีย์และค่าที่จะลบเพราะฉันพิจารณาแล้วว่ามันเกี่ยวข้องกับ Wondeshare อย่างเคร่งครัด เพื่อระบุพวกเขาฉันค้นหารีจิสทรีสำหรับ "wondershare" และบันทึกคีย์หลักที่มีผลลัพธ์ที่ระดับเฉพาะไฟล์ wondershare จากนั้นฉันค้นหาการอ้างอิงทางอ้อมไปยังพวกเขาโดยค้นหารีจิสทรีอีกครั้งเพื่อหา TypeLib GUID ที่การค้นหาก่อนหน้าปรากฏขึ้น (เช่นฉันค้นหา {249694CE-7F79-4224-A555-11B445F947AB} และบันทึกคีย์หลักจากผลลัพธ์เหล่านั้นด้วย) ผลลัพธ์สุดท้ายค่อนข้างซ้ำซ้อนเนื่องจากบางส่วนของคีย์เหล่านี้เป็นคีย์เดียวกันภายใต้ชื่อที่แตกต่างกัน แต่การลบคีย์เดียวกันหลายครั้งจะไม่ทำให้เกิดความเสียหายหรือรายงานข้อผิดพลาด 
Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_CLASSES_ROOT\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_CLASSES_ROOT\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]

[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[-HKEY_CLASSES_ROOT\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]

[-HKEY_CLASSES_ROOT\Interface\{0FA988D3-BA51-48AD-A518-6462CD5FF547}]

[-HKEY_CLASSES_ROOT\Interface\{225BE4D8-64CA-49B1-9630-917F2D92F452}]

[-HKEY_CLASSES_ROOT\Interface\{36B0BA4B-20B5-4369-BBCA-9FAADC8EAC19}]

[-HKEY_CLASSES_ROOT\Interface\{46884330-13BA-4AC9-BEDC-3A2E955EB8DA}]

[-HKEY_CLASSES_ROOT\Interface\{4D3609D2-1D8A-4E9F-884B-438AFDDECB86}]

[-HKEY_CLASSES_ROOT\Interface\{55DB3C89-37B9-41E8-87CC-7C578D2F5374}]

[-HKEY_CLASSES_ROOT\Interface\{5610D1A9-5B54-4E77-9190-94FF9E59AFBA}]

[-HKEY_CLASSES_ROOT\Interface\{70AC1FC1-A22B-4327-9A54-754B9301A056}]

[-HKEY_CLASSES_ROOT\Interface\{B76550E2-048B-4D8C-B432-4668A54EDEA3}]

[-HKEY_CLASSES_ROOT\Interface\{C5CAFA8E-F69D-4E6F-9BF3-1F4522AFD4BE}]

[-HKEY_CLASSES_ROOT\Interface\{E1839CDE-A191-4DA4-9FCE-178A88318DF4}]

[-HKEY_CLASSES_ROOT\Interface\{E5E91D68-955D-4DE1-AB8E-89B26DF6A331}]

[-HKEY_CLASSES_ROOT\Interface\{E90BA470-0728-47E6-B2E7-0ED0C0CFEA8F}]

[-HKEY_CLASSES_ROOT\Interface\{F0ABE7E0-32E3-472E-924C-162B1996DC23}]

[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{6E993643-8FBC-44FE-BC85-D318495C4D96}]

[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]

[-HKEY_CURRENT_USER\SOFTWARE\BugSplat]

[-HKEY_CURRENT_USER\SOFTWARE\Wondershare]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32]
"Wondershare Helper Compact.exe"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run]
"Wondershare Helper Compact.exe"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Wondershare]

  1. บันทึกและเรียกใช้ไฟล์ REG ไม่สนใจข้อเท็จจริงที่ว่าข้อความแจ้งว่า "เพิ่ม" ข้อมูลลงในรีจิสทรี อันที่จริงมันแค่ลบคีย์และค่าทั้งหมดและไม่ได้เพิ่มอะไรเลย

  2. จากนั้นตรวจสอบตัวจัดการงานสำหรับกระบวนการที่เรียกว่า Wondershare Studio ฉันคิดว่านี่ทำงานก่อนที่ฉันจะรันไฟล์ REG แต่ดูเหมือนจะหายไปในภายหลัง ถ้ามันยังอยู่ที่นั่นฉันจะจบมันอย่างแข็งขัน

  3. ในที่สุดมันก็ควรจะปลอดภัยที่จะลบไดเรกทอรีต่อไปนี้โดยสังเกตว่านี่เป็นชื่อของไดเรกทอรีในระบบปฏิบัติการ 64 บิตและหากคุณมีระบบปฏิบัติการ 32 บิต (x86) ชิ้นส่วนจะไม่เป็นส่วนหนึ่งของเส้นทาง:

    C:\Program Files (x86)\Common Files\Wondershare

นั่นเท่าที่ฉันสามารถทำความสะอาดได้

บันทึก: ฉันไม่แนะนำให้ใช้ไฟล์ REG ด้านบนบนระบบปฏิบัติการ 32 บิตเนื่องจากโครงสร้างหน้าต่าง 32 บิตรีจิสตรีต่างกันโดยไม่มีบิต WOW6432Node ทั้งหมด

BlueMonkMN
แหล่งที่มา
1
วิธีนี้ใช้ได้ผล! ขอบคุณสำหรับคำอธิบายโดยละเอียดและไฟล์. reg
CoreDumpError
1

ฉันพบเคล็ดลับที่มีประโยชน์ในเว็บไซต์อื่นเกี่ยวกับปัญหา Wondershare นี้

  1. ไปที่ตัวแก้ไขรีจิสทรี
  2. ยุบไฟล์ทั้งหมด
  3. ไปที่ใต้ "แก้ไข" และกด "ค้นหา" - พิมพ์ Wondershare และจะเรียกใช้อินสแตนซ์ของไฟล์ (หนึ่งต่อหนึ่ง)
  4. คุณต้องลบมันด้วยตนเอง
  5. ตี F3 เพื่อค้นหาอินสแตนซ์ถัดไปของไฟล์จนกว่าคุณจะผ่านรีจิสทรีทั้งหมด

ฉันพนันว่าฉันมี 30 รีจิสตรีคีย์ที่แตกต่างจาก Wondershare คอมพิวเตอร์ทำงานได้ดีในขณะนี้

TERESA
แหล่งที่มา
-1

ฉันพบว่า Control.Alt.Delete แล้วดำเนินการ ลบใด ๆ ภายใต้ wondershare จากนั้นกลับไปที่โปรแกรมถอนการติดตั้งปกติแล้วลบ ทำงานให้ฉัน

Silverhat
แหล่งที่มา
-1

แม้ว่าคุณจะทำการติดตั้ง / ถอนการติดตั้งโปรแกรมตามปกติในการถอนการติดตั้ง Wondershare แต่เมื่อคุณทำการค้นหาจะยังมีไฟล์จำนวนมากเหลืออยู่ในระบบของคุณ หากคุณพยายามที่จะลบพวกเขามันจะปฏิเสธเพราะ "มันเปิดอยู่" โดยปกติจะเป็นผู้ช่วยเหลือ Wondershare ที่เปิดอยู่ซึ่งจะป้องกันไม่ให้คุณลบไฟล์ ไปที่ control.alt.delete เปิดโปรเซสค้นหาตัวช่วยและสิ้นสุดภารกิจจากนั้นทำการค้นหา Wondershare และลบไฟล์ที่เหลือทั้งหมด

user495539
แหล่งที่มา
-1

ผมมีปัญหาเหมือนกัน. ฉันถอนการติดตั้ง Wondershare ออกจากแผงควบคุม แต่เมื่อฉันรีบูตกล่องโต้ตอบจะปรากฏขึ้นทุกครั้งที่บอกว่า "ผู้ช่วยกระชับ wondershare" ต้องการแก้ไขระบบ ฉันเข้าสู่โหมดล้างมัลแวร์มาตรฐาน: เปิด regedit และค้นหา wshelper.exe คุณจะพบการแข่งขันมากมาย แต่คุณสามารถเพิกเฉยได้ กด F3 เพื่อหาคู่ต่อไปจนกว่าคุณจะพบการจับคู่ที่อยู่ภายในคีย์ RUN คีย์ 'RUN' มีความสำคัญเนื่องจากนี่เป็นวิธีที่ซอฟต์แวร์เชื่อมโยงกับลำดับการเริ่มต้นคอมพิวเตอร์ เมื่อคุณพบค่า wshelper.exe ภายใต้คีย์ RUN แล้วให้ลบทิ้ง * ระวังอย่าลบสิ่งอื่นนอกเหนือจากค่า wshelper.exe หากคุณลบสิ่งอื่นโดยไม่ตั้งใจคุณสามารถทำให้คอมพิวเตอร์เสียหายได้ ทำตามขั้นตอนนี้เฉพาะเมื่อคุณมีประสบการณ์ สำรองข้อมูลรีจิสทรีของคุณด้วยการสร้างจุดคืนค่าในแผงควบคุม * คุณอาจพบว่าคุณมีคีย์ "RUN" มากกว่าหนึ่งคีย์ (ในกรณีของฉันคอมพิวเตอร์ของฉันมีโหนดย่อยการเปลี่ยนเส้นทาง WOW6432 ดังนั้นฉันมีคีย์ RUN สองปุ่ม) ดังนั้นให้ค้นหาคีย์ RUN ใด ๆ ที่ wshelper.exe ซ่อนอยู่ จากนั้นฉันจะรีบูทและไม่ได้กล่องโต้ตอบตัวช่วย Wondershare ที่น่ารำคาญอีกต่อไป ฉันไม่ได้ใส่ใจที่จะทำความสะอาดรายการรีจิสทรีและโฟลเดอร์ฮาร์ดไดรฟ์อื่น ๆ อีกต่อไปเพราะฉันมีความสุขที่ไม่ได้ใช้งานและไม่ได้ใช้งาน ฉันหวังว่านี่จะช่วยผู้คนในสถานการณ์เดียวกัน

Peter Smallwood
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.