各位大神，紧急求助，如何卸载这个软件？

Qutianshang

风之咩~ 发表于 2014-12-15 13:03
我楼上猜对了

她只是创建注册表，根本就没有文件和程序，更不用说卸载了

风之咩~

Qutianshang 发表于 2014-12-15 13:07
她只是创建注册表，根本就没有文件和程序，更不用说卸载了

我看见这贴第一反应就是这个方式 所以直接就回复了  结果翻了前几页你的回复MD报告给了我肯定

也不知道为什么前面几个大牛都跑去纠结服务和有没有残留软件启动项去了   比如某个故事讲的   一滴水从好几万米高空掉下来还是否存在  学者们各种计算  小朋友们直接回答  雨    我们是小朋友

PS：最爱MD了  可惜在这个奔x64的年代   特有一个虚拟机快照是MD  专用来跑软件动作

风之咩~

Qutianshang 发表于 2014-12-15 13:06
给你一个建议。你下载安装一下Malware Defender。在Malware Defender开启的情况下，再次运行一下这 ...

如果是为了解决他的问题  你应该直接上传一个恢复他原有设置的reg或者bat  或者告诉他让他用这软件点读写后再删除   毕竟有些人只追求解决问题  管你什么原理的  更别说让他自己去追踪动作了

Qutianshang

风之咩~ 发表于 2014-12-15 13:23
如果是为了解决他的问题  你应该直接上传一个恢复他原有设置的reg或者bat  或者告诉他让他用这软件 ...

那个还是算了，注册表比较敏感，万一删错了岂不是麻烦。

Qutianshang

风之咩~ 发表于 2014-12-15 13:10
我看见这贴第一反应就是这个方式 所以直接就回复了  结果翻了前几页你的回复MD报告给了我肯定

...

这个作者蛮拼的，就是修改注册表而已，居然还加了数种语言

100lj

风之咩~ 发表于 2014-12-15 13:03
为什么你们就没考虑过这软件的工作原理呢  这种软件根本就不存在安装或者卸载的问题  点阻止U盘 ...

楼主问的是为什么删除了该软件重启电脑后这货又启动了？

翼风Fly

MD不直观，遂用Total Uninstall在虚拟机里跑，ProcessMonitor以及ARK工具备用。

软件没有任何写文件的迹象，只是在写注册表：


所以楼主可以放心~人家顶多为了防止被恶意攻破密码，故意把密码留下来，要不你把软件删了密码废了，要密码干什么？
实在不爽，执行以下命令行：


[mw_shl_code=css,true]REG DELETE HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /f
REG DELETE HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices /f[/mw_shl_code]

上面的命令并不会对usb可用状态进行修改

如果您觉得我说的能够解决问题，请将标签修改为“已解决”，建议把我这层楼置顶推荐，以便为更多童鞋提供思路，谢谢！

翼风Fly

100lj 发表于 2014-12-15 13:39
楼主问的是为什么删除了该软件重启电脑后这货又启动了？

并没有启动项，实质上只是通过修改注册表禁用了usb设备而已，就算不用这货咱们自己做个批处理也能解决。
密码竟然也写在注册表里。。。
详见47楼

翼风Fly

风之咩~ 发表于 2014-12-15 13:10
我看见这贴第一反应就是这个方式 所以直接就回复了  结果翻了前几页你的回复MD报告给了我肯定

...

同。可能是因为相似的例子处理的多了，习惯用这种方式解决而已。学者们习惯用复杂的方式处理，所以就会发生这种比较囧的事情了。。。

对于一些小软件，采取顺向的跟踪要比反向的分析更加有效呢

100lj

翼风Fly 发表于 2014-12-15 13:45
并没有启动项，实质上只是通过修改注册表禁用了usb设备而已，就算不用这货咱们自己做个批处理也能解决。
...

我没试，所以只能从楼主的描述来分析。

但是重启就自动运行了，如何卸载呢？

试过所有软件都找不到启动项，我把原文件删了，但是重启软件也在运行。真搞不懂。

又仔细看了一遍楼主所有的描述，应该是给人一种误解。
这软件是通过注册表来存储密码（很多伪加密软件都是用这种方法隐藏密码的）和修改USB访问权限相关注册表项目。因此仅仅简单删除该软件，其之前所做USB访问权限设置仍有效，以至于使楼主以为该软件没有被删除仍在运行。这种软件卸载的最好办法是恢复USB默认设置之后再删除，以免影响USB使用。
用你的方法直接恢复注册表更加快捷有效。