不小心下载恶意流氓软件插件，电脑小白如何清除

本人学生党，假期将至，一时兴起，欲玩网游，遂寻网址下载。岂料一时糊涂，误入错误网址，载得恶意软件，顷刻间电脑马力拉满，捆绑软件扑面而来，广告弹窗满屏横飞，电脑身陷囹圄……作为电脑小白，网上查阅各路资料，小做尝试，以二百五智商拯救电脑……在此含泪分享试错经历，愿给有需要的朋友一点帮助。一、现象及初试方案1.1 下载恶意流氓软件后发生什么现象现象1：下载安装完某个软件后，电脑负荷立刻增加，电脑被无缘无故下载了很多软件，桌面开始出现多种奇奇怪怪软件的快捷方式，还会有广告弹窗出现；现象2：每过一段时间都会有广告弹窗和小游戏弹窗出现，每次重启都会有新的软件被下载，而且被下载到了不同的磁盘位置，像病毒一样蔓延，此时可以意识到下载了流氓软件，长此以往电脑空间必将被完全侵占！现象3：百D搜索无法使用，提示有安全风险，说明该软件还会恶意极大影响网络安全和用户隐私，必须清除！说明：关于现象1，部分正规软件在安装时会提示是否下载推荐的软件，此时如果不需要则不勾选即可，而且之后也不会自动捆绑下载软件，不会出现弹窗。但是恶意/流氓软件往往并不会提供这个选项，一旦安装就“附赠”下载一堆不需要的捆绑软件。更为过分的是，恶意/流氓软件还会带来现象2和3，会像病毒一样损害用户体验和网络安全。1.2 简单初试方案

按照正常卸载软件的步骤：

关闭恶意流氓软件及其捆绑软件：在“任务管理器”里全部终止（with anger）；卸载软件：在“控制面板\程序\程序和功能”找到并卸载，可以根据 安装时间 判断哪些是刚刚下载的恶意软件；

如果是个正常软件，上述方法完全够用了。但是，在我重启电脑之后发现恶意行为并没有终止，也就是说这样做治标不治本，恶意软件或者插件并没有被彻底清除，而且该软件很会伪装自己，不易在上述简单操作里被发现！如果你也遇到了这些问题，那么你可以试试以下解决方案。

二、成功解决方案步骤一：用 SoftCnKiller[1] 禁用流氓软件/插件，这是网上广为推荐的一种禁用办法。（SoftCnKiller下载链接见参考[1]）

SoftCnKiller 通过对比启动项与系统内置项的数字签名、目录名等，列出相异项，通过禁用的方式来让恶意流氓软件/服务变得可删除，不过需要处理完成后手动卸载。

SoftCnKiller 软件界面，通过右小角的“扫描”和“处理”能禁用软件/服务

存在问题：

SoftCnKiller 仅仅发挥暂时禁用作用，还是需要手动找到软件后卸载。此时可以根据 SoftCnKiller 提供的文件路径找到不能通过正常卸载流程找到的软件并卸载，也可以下载卸载插件辅助卸载。Windows安全中心偶尔会把 SoftCnKiller 给列入危险禁用名单，一旦其被禁用，流氓软件的恶意行为还是会复发。说明仅仅是禁用的方法无法保证持久功效！步骤二：利用 卸载软件 强力卸载恶意软件及其捆绑软件

紧承步骤一，恶意项目太多手动清理不过来，可以借助卸载软件辅助寻找并卸载。

说明：网上有一些教程使用 IObit Uninstaller 卸载[2]或者Geek Uninstaller[3] ，据说有效，但是我也看到一些说法提到这些小软件也会多多少少有点问题。我使用的是TX电脑管家，说来不怕笑话，用这个方法是因为流氓软件给我下载了这玩意，我一想或许以暴制暴是个不错的方法。虽然TX电脑管家可能会在我电脑安营扎寨，但是咱平时VX、扣扣、各种游戏啥的都是TX业务，隐私早就泄露完了，还在意这点吗，管他黑企鹅白企鹅，能把恶意软件卸了就是好企鹅。。。直接“病毒查杀”，清理掉一切可疑项。通过“软件管理”–“卸载”，根据安装日期卸载掉恶意捆绑软件。

存在问题：

此时百D搜索已经可以用了，按理说经过步骤一和步骤二并且重启电脑以后，应该是万事大吉了。但是当我重启完成之后，我发现最小化托盘里，那个恶意软件XingRecord64还是存在！而且通过 SoftCnKiller 扫描不到新的内容了，说明这个恶意软件应该就是很难被各路神仙软件找到的始作俑者！

多亏这个恶意软件是可以被看到的，如果看不到的话我可能一时半会还是发现不了问题。。。步骤三：溯源清除顽固恶意 .exe右键最小化托盘的软件图标，根据“属性”找到所在文件夹位置。欲通过 shift+delete 彻底删除，但提示 .exe 正在被资源管理器调用， .dll 文件正在处于进程中，无法删除。在资源管理器里面通过名称查找到这个 .exe并结束任务，此时可以删除 .exe了，但是 .dll 仍处于进程无法删除，于是搜索win10删除 .dll 的方法步骤四：溯源清除顽固恶意 .dll

为什么之前都清理不掉恶意软件？DLL文件是Windows系统中一种比较特殊的二进制文件，不少病毒、木马的生成的DLL文件可以具有无进程、不可删除、启动方式多样、隐蔽性高等特点。很多时候我们是通过杀毒软件的提示知道某个DLL文件感染了病毒，但不论是在杀毒软件中选择删除该文件还是手工删除该文件都始终提示出错[4][5]。我们之所以无法删除可恶的DLL文件，是因为它依附到了其他进程之中，而这些进程的存在也使得DLL病毒正处于运行之中，所以要想删除它必须先把被病毒依附的进程结束了才行。操作如下：

找到进程ID：打开命令提示符窗口（快捷键Win+R输入cmd），以名为 XingRecord64.dll 的恶意DLL为例，输入如下命令tasklist /m XingRecord64.dll

这条命令是意思是检测指定名字的DLL被哪些进程所调用。从结果看出DLL病毒文件所在进程，其进程ID（PID）为7760，如下图所示。

强行终止进程：用命令taskkill /f /PID 7760，强行终止ID号为7760的进程。当然，我们也可以用任务管理器结束该进程。taskkill /f /PID 7760task指令操作终止DLL进程删除恶意DLL：在文件夹里 shift+delete 删除恶意DLL。说明：对于插入单进程的DLL，以上步骤即可杀灭。但是有些狡猾的DLL会插入多进程，甚至会随时监控多个进程，当某个进程被封禁时会转移到另一个进程。此时需要NTFS分区格式的文件限制功能来解决，主要思路是禁止恶意文件被调用。由于本人没有遇到没有实践，遂不谈，具体步骤见 参考[4]。再说明：关于如何删除DLL，我有参考过网页[6]，但不知为啥找不到，可能是这个恶意插件很会隐藏自己。还有一种在注册表替代的方法我没尝试过。总而言之，恶意软件会隐藏自己的身份，但是其参与进程这件事是可以被察觉的。步骤五：恢复桌面（文件资源管理器）

在终止7760进程后，整个任务栏/桌面都消失了。这也能解释为什么刚才删不掉DLL文件了，因为其依附的进程是explorer.exe，即文件资源管理器的进程，这可是windows系统最基本的进程之一了。如何还原桌面？步骤如下[7]

启动“任务管理器”-“详细信息”搜索“explorer.exe”右键“打开文件所在位置”启动“explorer.exe”三、心得小结3.1 遇事勿急躁

作为一个成熟的电脑使用者，虽然对硬件软件知识是小白，但对网络信息还是有一定辨别能力的。可当时有点心急气燥，加之网页包装还算精良，乍一看也没问题，就稀里糊涂点进去下载了，所以凡事还是要冷静……

另外在遇到不曾涉猎的问题时切莫惊慌，冷静应对，凭借自身经验和判断，借鉴各路大神解决经验，找到问题可能出现的点，困难总会迎刃而解。

3.2 日常防护小伙伴们自行从网页搜索资源下载软件的时候，千万注意辨别网站来源，看看是否为官方网址，一方面可以看是否带有“官方”图标，另一方面也可以看网址域名是否正规。带有“官方”字样，且网址正规电脑软件登陆，尽量用手机扫二维码，防止密码输入泄露可以考虑下载电脑安全助手，辅助 Windows 安全中心。“火狐”值得推荐一下。可以考虑下载软件管理助手，因为该类软件不仅可以提供较为安全且全面的软件下载渠道，而且还能很好地将电脑软件进行归类，方便梳理桌面整理软件也可以尝试，真的能让电脑桌面焕然一新，井然有序（这也是我被恶意捆绑软件安利的lol），经过对比亲测之后推荐一波“小智桌面”，功能集成和调用做得不错。

最后声明：本人对电脑系统知之甚少，若有不当观点，还请各位大佬海涵和批评指正！也欢迎大家在评论区积极讨论！

参考^SoftCnKiller高速下载器捆绑软件杀手 https://blog.csdn.net/hfhbutn/article/details/104799162^【诸神黄昏】如何永久告别流氓软件？全网最强流氓软件清除攻略！ https://www.bilibili.com/video/BV1AL4y1z7rv?from=search&seid=14135321934113274470&spm_id_from=333.337.0.0^Geek Uninstaller官网 https://geekuninstaller.com/^删除顽固的DLL文件 https://blog.csdn.net/chencaishengsic/article/details/38455177^电脑报 http://www.shudoo.com^win10如何强制删除dll文件 教你强制删除win10dll文件的方法 http://www.xitongcheng.com/jiaocheng/win10_article_65446.html^无意中关了一个进程，桌面没了，怎么恢复 https://zhidao.baidu.com/question/121360017.html