移除軟體 , 防隨身碟病毒

zmac2007

在非PE環境，有時候總會有軟體移除不了，需要強制移除刪不掉軟體。
有些人會直接刪除目錄及檔案，一般最先考慮的是此軟體在登錄檔的影響，第二才是此軟體在系統目錄放置的DLL、OCX…檔案。


免費又好用的移除軟體工具：
Wise Program Uninstaller、Revo Uninstaller、IObit Uninstaller、GeekUninstaller。

如果標題讓你誤解，而你要的是檔案強制刪除或解鎖，那麼請參見 u32227大的帖子。
u32227大的帖子， UNLOCKER.WIM (中英文)
http://nonameteam.cc/thread-1236-1-1.html

====
換個方式想想，如果不管此軟體在系統目錄放置的DLL、OCX…檔案影響，只考慮此軟體在登錄檔的影響。
如果你常安裝一些新奇的軟體，並且在使用移除軟體工具過後，仍無法修正軟體在登錄檔的影響(像中了隨身碟病毒)。
可進 XPE 將MS作業系統的登錄檔目錄備份，一般是先在安裝好系統及驅動程式、輸入法和其它設定，作第一次登錄檔備份。
登錄檔目錄備份---我是直接用WINRAR壓縮目錄； 還原---即刪除登錄檔目錄，再解壓縮還原目錄。
C:\Windows\System32\config 目錄，乾淨的 config.rar 壓縮檔 僅79-82mb .注意此備份僅針對登錄檔。
對了，pe有修改ms的os登入密碼工具，但不想對方知道有人修改密碼並登入?
第一是登錄檔備份再修改及登入，第二完事還原密碼，關鍵是刪除登入系統記錄文件(當初有另外備份就替代)。

===
資安概念，防毒軟體就像裝鐵窗或者說有保全定時巡邏，但這不保證就不會被偷。
隨身碟病毒不是病毒，正名是隨身碟惡意程式，屬於木馬蠕蟲類的惡意軟體。
隨身碟惡意程式，在會登錄檔內關連"開啟目錄或開啟磁碟時"，每當執行這兩個動作，便呼叫執行程式敘述。
1.自我複製(會自我備份)，感染其它隨身碟   2.確定軟體寫入系統登錄檔有無被刪除或更改。(開啟隨身碟自動執行功能/設定隱藏系統檔/註冊關連)
是說插入隨身碟時，按住 SHIFT 鍵可略過自動執行功能，再按右鍵選取[新視窗開啟 或 檔案總管開啟]，問題是很多人之後會直接點擊一次隨身碟[開啟]，就中鏢了。

防隨身碟病毒，只有3招
1.禁用 姆指碟、行動硬碟、記憶卡 (如 SD、CF 卡)、數位相機、數位 MP3 播放器、數位行動裝備，插入電腦。
2.關閉隨身碟自動執行功能，並平日設定隨身碟為唯讀狀態(需要寫入時再開啟弱能)。
3.在根目錄下 建立 Autorun.inf 的資料夾，重點是要刪不掉的目錄(非單純唯讀的目錄)。

命令提示字元-cmd，先切換到 Autorun.inf 的資料夾，範例為d碟
echo 重點在Autorun.inf 的資料夾，建立 禁止訪問移除的資料夾
echo 建立名為 "prn." 禁止訪問移除的資料夾。(受保護的目錄)， md 為建立目錄指令，還有範例的目錄 prn，實際使用請改其它別名。
md prn.\
echo輸入" start d:\Autorun.inf\prn.\ "即可進入這個資料夾，把隱私檔案放進去
echo無論你放多少東東進去，資料夾的大小始終顯示為0位元組，需注意要輸入資料夾的絕對路徑，否則無法開啟
start  d:\Autorun.inf\prn.\
echo請注意：要先刪除資料夾中的檔案，否則無法移除目錄，使用 rd 刪除目錄指令

最重要的事，在此目錄設定某一個檔案的存取權限，非系統管理者無法刪除它。
或者直接將，根目錄下的 Autorun.inf 資料夾，設定為無法存取、存取被拒，即可。

===
糟糕！Google 瀏覽器無法連線至 fj.btplay.net:8080
https://www.google.com/webhp?hl=zh-TW   使用此網搜尋正常，用yahoo、百度...都正常。
google網頁被無憂導航劫持(fj.btplay.net:8080) ，使用google頁面會自動轉址，不過無憂導航頁面已消失。
總之，你的系統被植入惡意登錄註冊碼，還有要刪除 引導轉址 的  sys檔 / dll檔，這東東2010年網路上就有了。
刪除註冊表「websafe」項目，並刪除 WEBSAFE.sys / WEBSAFE.dll
C:\Windows\System32\drivers>WEBSAFE.sys
C:\Windows\System32>WEBSAFE.dll (2011年後沒有此檔)

===
奇怪的Lpk.dll檔
Lpk.dll 會感染 系統、隨身碟(C、D、E...槽)，而自我複製lpk.dll 動作使得很多目錄下都存在lpk.dll文件，但是如果將 將電腦中所有lpk.dll刪除，"可能"會誤刪除原本系統同名的系統檔。並不是所有lpk.dll文件都是病毒。正常系統中本身就會存在lpk.dll的同名文件，它是ms的語言包，位於C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache目錄下，注意看檔案大小並不同於病毒。

首先要知...還有個 hra33.dll 會更新病毒版本
1.被感染exe文件的當前目錄，會變成隱藏目錄，而同目錄名稱的.exe檔案借此裝成目錄(圖示會關連成系統目錄圖示)，所以點擊會執行開啟隱藏目錄的動作及再執行自我複製，新版本會呼叫winrar或winzip追加在近日開啟的rar或zip檔內。

2.lpk.dll一直重生，是 dll重新註冊指令加在右鍵惹禍~~~自以為懂電腦的朋友，你所使用的os為何要將 regsvr32指令加在右鍵???

===
另外，變種的Plaevo病毒可由網路相簿連結或即時通訊中標，它會在Windows資料夾建立隱藏檔案：mds.sys、mdt.sys、winbrd.jpg、infocard.exe並更改系統登錄碼解除作業系統的防火牆。

TR/ATRAPS.Gen 特洛依病毒會盗取密碼回傳至某網絡點。
TR/Dropper.Gen 木馬病毒會變更進程，阻止系統文件保護運作。
Trojan.win32.generic 病毒 和 Trojan.Dropper 病毒很常見 。

呆呆烈

有些kavo變種是可以判斷目錄跟檔案的區別~所以目錄也不是都有用~尤其是對資料夾感染類型的kavo就沒什麼作用了
最好的方式就是裝防毒軟體~停用自動播放~定期檢查隨身碟是否中毒這樣(顯示隱藏檔)

mplcqs

很詳細的說明,謝謝樓主zmac2007大,
樓主非常熱心^^

jaoyuan

感謝樓主這麼細心整理&分享,相信可以造福不少網友喔! ^_^

giji1223

謝謝分享如何移除方法使用

yaung

非常的詳細,先收下了

再來仔細研究