微软出品的 "流氓软件杀手" 揪出偷偷安装程序

"常在网上浪,哪有不湿鞋",相信大家在网上下载东西的时候,一不小心就被虚假的地址坑了,下回来是一个捆绑各种流氓软件的程序,一旦运行就会在你后台自动下载安装N个软件。

微软出品的

你想卸载它,没那么容易!每个流氓软件的程序,都会通过各种手动隐匿在你的系统中,哪怕你安装了各种杀毒软件,也有可能会杀不尽,流氓程序可能会植入驱动程序、任务计划、映像劫持、注入DLL、自我保护、自动复制、交叉感染等方式来执行本身。

锋哥的猛男表哥就中了流氓软件,他表示怎么杀都杀不掉,工作时来弹窗,表示搞得很烦。

微软出品的

其实不管啥流氓软件一旦开始作恶,那肯定会在系统里面有踪影,但是你想通过系统自带的任务管理器来寻找这些流氓软件,比较难,无法查看到具体的底层信息。

所以今天锋哥给大家推荐微软出品的超强启动管理器「Autoruns」能全面查看检查系统的方方面面的项目,如启动项、服务、注册表、驱动程序加载、任务计划、插件管理等等。

微软出品的

另外给大家科普下,原先「Autoruns」是著名工具程序集「Sysinternal Suite」里面的一款软件,后来被微软收购了,所以现在是由微软在维护更新这款工具。

使用 Autoruns 揪出流氓软件

为了给大家演示「Autoruns」使用,锋哥还专门去找了一个流氓软件安装包测试。有时候当你下载到这样的捆绑包,你以为点右上角 X 关闭,就不会安装了?太年轻了....

当你点击关闭,其实流氓包已经愉快的会在后台偷偷静默下载安装了,可以看下面的动图,关闭退出后桌面立刻跳出了一个悬浮飘窗广告。

微软出品的

桌面开始慢慢出现一堆软件的快捷方式,删除流氓软件安装包,提示正在使用中,任务管理器结束进程,结束了,又自启动。

微软出品的

几分钟后,桌面已经开始出现一堆弹窗和漂浮窗,关闭隔一会又弹,系统也开始变卡了,「Windows 10」表示我TM太难了……

这时候就需要「Autoruns」登场了,用它来分析这些偷偷安装的程序都藏在系统什么地方。

从「Autoruns」里面可以看到,有些流氓软件已经自动加入计划任务列表了,当你卸载这些软件时,会存留一个离线下载程序,利用计划任务不定时的帮你重新安装上,这就是所谓的流氓软件跟小强一样,怎么杀都杀不完。

这时可以从「Autoruns」的计划任务列表里,查看到程序所在的位置,然后手动删除,并从计划任务列表里删了任务。

微软出品的

右键菜单也是被添加了一堆项目,即使你卸载了软件,也有可能会残留,不管那么多,全部右键删除掉。

微软出品的

系统服务也被添加了很多项目,并且还是自启动,你卸载后这些服务还会残留,同样直接右键删除。

微软出品的

还有以系统级的驱动方式植入,即使你卸载了,系统可能还是会加载这个流氓 "驱动" ,然后又偷偷的帮你安装回来软件。

微软出品的

你也可以单独切换项目页来分析哪些是流氓软件的残留文件,遇到不认识的文件,可以右键在线搜索。

微软出品的

也可以选中文件后,右键选择 "上传到 VirusTotal" 在线查毒网站进行分析是否有病毒。

微软出品的

为避免有些流氓软件会采用系统项方式植入,你还需要在选项目里去掉"隐藏微软条目",可以看到更多的文件项目。需要注意的是系统的项目不要乱修改删除哦,否则系统可能会崩了。

微软出品的

通过「Autoruns」的全方位查找,不管隐藏在系统哪个位置的流氓安装程序,都可以找出来并删掉。

需要注意的是,有些流氓软件的文件采用系统管理级,你需要用管理员方式运行「Autoruns」才能删除。又或者可以试试粉碎强制删除文件的软件来删除。

另外你也可以配合这款 「Geek Uninstaller」免费小巧的程序卸载软件,可以对软件强制卸载并清理注册表条目。

微软出品的

那么如何避免上网下载到这些流氓全家桶包呢?锋哥根据自己的经验给大家分享下,也欢迎留言补充:

  • 尽量到官方下载软件
  • 对比安装包大小,流氓包体积通常会小
  • 查看文件名,会附带 "_1234" 或 "@12313" 类名称
  • 尽量下载绿色版/便携的软件,解压就用
  • 安装靠谱的杀毒软件

总结

「Autoruns」对资深系统维护人员来说应该熟悉不过了,很多时候系统的疑难杂症问题,也可通过「Autoruns」来分析解决,也可以作为系统优化工具,减少启动项、服务等。

最后不管你现在有没有中流氓软件,还是推荐大家下载一个备用,还是那句话"常在网上浪,哪有不湿鞋"。

下载

  • 汉化版:https://lanzoux.com/iF0l1fv35aj
  • 英文版:https://lanzoux.com/i0NZffv35dc

相关文章