Wie entferne ich Wondershare Allmytube vollständig von Windows [mit Farbar Recovery Scan Tool]?

Windows 7 Enterprise x64

Also habe ich einen Fehler gemacht und ein zweifelhaftes ausführbares Programm ausgeführt, das aus dem Internet heruntergeladen wurde. Ich habe eine DVD gemacht und wusste nicht, wie ich Videos herunterladen soll funnyordie.com, also ging ich auf ein Glied und versuchte Wondershare Allmytube. Es tat, was ich wollte, aber es schien wirklich lückenhaft und mein Laptop begann so hart zu arbeiten, dass mein Lüfter ohne Benutzereingabe ankam, also schaltete ich das WLAN aus und deinstallierte es sofort und jetzt bin ich paranoid, dass ich ein Teil eines Botnetzes bin oder jemand meine gespeicherten Chrome-Passwörter hat.

Auch nachdem ich es deinstalliert habe, waren noch Dateien in C:/Program Dateien (x86) / Gemeinsame Dateien / Wondershare, C:/Program Dateien / Gemeinsame Dateien / Wondershare, C:/ProgramData/Wondershare, und es gab eine .exe auf meinem desktop. Ich fand jemanden mit dem gleichen problem in diesem forum: http://www.smartestcomputing.us.com/topic/71056-wondershare-helper-compact/

Das einzige Problem ist ihre Lösung war spezifisch für den Computer dieses Benutzers, und ich kann die Fixlist nicht herunterladen.txt wird vom Administrator in diesem Thread bereitgestellt, um zu sehen, was er getan hat. Ich habe jedoch das Farbar Recovery Scan Tool wie diese Person ausgeführt und einige Verweise auf Wondershare in der FRST gefunden.txt Datei.

Unter der Überschrift Registry (Whitelist) habe ich folgende Zeilen gefunden:

HKLM-x32...\Run: [Wondershare Helper Compact.exe] => C:\Program Dateien (x86)\Allgemein Files\Wondershare\Wondershare Helper Compact\WSHelper.exe -

HKLM-x32...\Ausführen: [DelaypluginInstall] => C:\ProgramData\Wondershare\AllMyTube\DelayPluginI.exe -

Unter der Überschrift Internet (Whitelist) habe ich diese Zeile gefunden:

BHO-x32: Wondershare AllMyTube 4.2.0 -> {067DF9EC-26B7-40DC-8DB8-CD8BE85AE367} -> C:\ProgramData\Wondershare\AllMyTube\WSBrowserAppMgr.dll Keine Datei

Unter der Überschrift Firefox habe ich Folgendes gefunden line:

FF HKLM-x32...\Firefox\Erweiterungen: [[email protected]] - C:\ProgramData\Wondershare\AllMyTube\[email protected]

Wie nehme ich alle Verweise auf Wondershare von Whitelists? Es scheint, als wäre das eine Sicherheitsbedrohung und ich versuche es zu patchen. (Ich habe auch Malwarebytes ausgeführt und mehrere Bedrohungen erkannt und entfernt.) Betrachte ich dieses Problem richtig?

Author: user1952534, 2014-08-20
Source

5 answers

Wondershare und jetzt iSkysoft (ich habe iSkysoft Video Editor ausprobiert) scheinen ein ähnliches Verhalten wie Malware zu zeigen, da eine versteckte Software installiert und so eingestellt ist, dass sie auch nach der Deinstallation ständig im Hintergrund ausgeführt wird. Das ist sehr "unhöflich". In meinen Bemühungen, aufzuräumen, was es getan hat, habe ich auf Folgendes zurückgegriffen.

  1. Erstelle ein .REG-Datei mit folgendem Text. Diese stellen Registrierungsschlüssel und Werte dar, die gelöscht werden sollen, da ich festgestellt habe, dass sie zugeordnet sind streng mit Wondeshare. Um sie zu identifizieren, habe ich in der Registrierung nach "Wondershare" gesucht und die übergeordneten Schlüssel notiert, die die Ergebnisse auf der für Wondershare-Dateien spezifischen Ebene enthalten. Dann suchte ich nach indirekten Verweisen auf sie, indem ich in der Registrierung erneut nach den TypeLib-GUIDs suchte, die bei der vorherigen Suche angezeigt wurden (zum Beispiel suchte ich nach {249694CE-7F79-4224-A555-11B445F947AB} und notierte auch die übergeordneten Schlüssel aus diesen Ergebnissen). Das Endergebnis ist etwas redundant, da einige dieser Schlüssel tatsächlich derselbe Schlüssel sind unter verschiedenen Namen, aber das mehrfache Löschen desselben Schlüssels wird weder schaden noch einen Fehler melden.
Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_CLASSES_ROOT\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_CLASSES_ROOT\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\Interface\{69468394-C7A1-4AF7-8788-5DCB7BE8BACC}]

[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]

[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_CLASSES_ROOT\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[-HKEY_CLASSES_ROOT\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]

[-HKEY_CLASSES_ROOT\Interface\{0FA988D3-BA51-48AD-A518-6462CD5FF547}]

[-HKEY_CLASSES_ROOT\Interface\{225BE4D8-64CA-49B1-9630-917F2D92F452}]

[-HKEY_CLASSES_ROOT\Interface\{36B0BA4B-20B5-4369-BBCA-9FAADC8EAC19}]

[-HKEY_CLASSES_ROOT\Interface\{46884330-13BA-4AC9-BEDC-3A2E955EB8DA}]

[-HKEY_CLASSES_ROOT\Interface\{4D3609D2-1D8A-4E9F-884B-438AFDDECB86}]

[-HKEY_CLASSES_ROOT\Interface\{55DB3C89-37B9-41E8-87CC-7C578D2F5374}]

[-HKEY_CLASSES_ROOT\Interface\{5610D1A9-5B54-4E77-9190-94FF9E59AFBA}]

[-HKEY_CLASSES_ROOT\Interface\{70AC1FC1-A22B-4327-9A54-754B9301A056}]

[-HKEY_CLASSES_ROOT\Interface\{B76550E2-048B-4D8C-B432-4668A54EDEA3}]

[-HKEY_CLASSES_ROOT\Interface\{C5CAFA8E-F69D-4E6F-9BF3-1F4522AFD4BE}]

[-HKEY_CLASSES_ROOT\Interface\{E1839CDE-A191-4DA4-9FCE-178A88318DF4}]

[-HKEY_CLASSES_ROOT\Interface\{E5E91D68-955D-4DE1-AB8E-89B26DF6A331}]

[-HKEY_CLASSES_ROOT\Interface\{E90BA470-0728-47E6-B2E7-0ED0C0CFEA8F}]

[-HKEY_CLASSES_ROOT\Interface\{F0ABE7E0-32E3-472E-924C-162B1996DC23}]

[-HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{6E993643-8FBC-44FE-BC85-D318495C4D96}]

[-HKEY_CLASSES_ROOT\WOW6432Node\Interface\{0477E5C9-0877-499A-8A7C-154C777293DC}]

[-HKEY_CURRENT_USER\SOFTWARE\BugSplat]

[-HKEY_CURRENT_USER\SOFTWARE\Wondershare]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32]
"Wondershare Helper Compact.exe"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\CLSID\{967B86E6-92E8-4A35-86C0-FEB187726802}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{249694CE-7F79-4224-A555-11B445F947AB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\TypeLib\{D85C6069-D628-4276-93C3-9A94E5338D8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run]
"Wondershare Helper Compact.exe"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Wondershare]

  1. Speichern und Ausführen der REG-Datei. Ignorieren Sie die Tatsache, dass die Nachricht besagt, dass Informationen zur Registrierung "hinzugefügt" wurden. Es hat tatsächlich nur alle diese Schlüssel und Werte gelöscht und nichts hinzugefügt.

  2. Überprüfen Sie Dann den task manager auf einen Prozess namens Wondershare Studio. Ich denke, das lief, bevor ich die REG-Datei ausführte, schien aber wegzugehen danach. Wenn es noch da wäre, hätte ich es mit Gewalt beendet.

  3. Schließlich sollte es sicher sein, das folgende Verzeichnis zu löschen, wobei zu beachten ist, dass dies der Name des Verzeichnisses auf einem 64-Bit-Betriebssystem ist, und wenn Sie ein 32-Bit-Betriebssystem haben, wird das (x86) Stück nicht Teil des Pfads sein:

    C:\Program Files (x86)\Common Files\Wondershare

, Das ist so viel wie ich finden konnte, um aufzuräumen.

Hinweis: Ich empfehle nicht, die obige REG-Datei auf einem 32-Bit-Betriebssystem zu verwenden, da 32-Bit-Windows die Registrierung strukturiert anders ohne alle WOW6432Node bits.

 6
Author: BlueMonkMN,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2020-06-12 13:48:39

Ich habe auf einer anderen Website einen nützlichen Tipp zu diesem Wondershare-Problem gefunden.

  1. Gehe in den Registrierungseditor.
  2. Alle Dateien zusammenklappen.
  3. Gehen Sie unter " Bearbeiten "und drücken Sie" Suchen " - geben Sie Wondershare ein und es werden Instanzen der Datei aufgerufen (einzeln).
  4. Sie müssen sie manuell löschen.
  5. Drücken Sie F3, um die nächste Instanz der Datei zu finden, bis Sie die gesamte Registrierung durchlaufen haben.

Ich wette, ich hatte 30 verschiedene Registrierungsschlüssel mit dem Wondershare auf es. Computer funktioniert jetzt großartig.

 2
Author: TERESA,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2015-10-11 13:00:08

Ich habe die Kontrolle gefunden.Alt.Löschen dann Prozesse. Löschen Sie alle unter Wondershare dann gehen Sie zurück zum regulären Deinstallationsprogramm und entfernen. Arbeitete für mich

 -1
Author: Silverhat,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2015-04-05 09:12:14

Selbst nachdem Sie die übliche Installation/Deinstallation von Wondershare durchgeführt haben, sind bei der Suche nach Wondershare noch viele Dateien auf Ihrem System vorhanden. Wenn Sie versuchen, sie zu löschen, wird dies abgelehnt, da "es geöffnet ist". Normalerweise bleibt der Wondershare Helper geöffnet, wodurch Sie die Dateien nicht löschen können. Geh Kontrolle.alt.löschen, öffnen Sie Prozesse, suchen Sie den Helfer und beenden Sie die Aufgabe, suchen Sie nach Wondershare und löschen Sie alle verbleibenden Dateien.

 -1
Author: user495539,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2015-09-10 05:45:01

Ich hatte das gleiche problem. Ich habe Wondershare über die Systemsteuerung deinstalliert, aber beim Neustart wird jedes Mal ein Dialogfeld angezeigt, in dem steht, dass "wondershare helper compact" das System ändern möchte. Ich ging in den Standard-Malware-Bereinigungsmodus: Öffnen Sie Regedit und suchen Sie nach wshelper.exe. Sie werden viele Übereinstimmungen finden, aber Sie können die meisten ignorieren. Drücken Sie weiter F3, um die nächste Übereinstimmung zu finden, bis Sie schließlich eine Übereinstimmung in einer RUN-Taste finden. Die ' RUN ' Tasten sind wichtig, weil dies ist, wie software Haken in die Computer-Start-Sequenz. Sobald Sie den Wshelper gefunden haben.exe-Wert unter einem RUN-Schlüssel dann löschen. * Achten Sie darauf, nichts anderes außer dem wshelper zu löschen.exe-Wert. Wenn Sie versehentlich etwas anderes löschen, können Sie Ihren Computer beschädigen. Befolgen Sie diesen Vorgang nur, wenn Sie Erfahrung haben. Sichern Sie auch Ihre Registrierung, indem Sie einen Wiederherstellungspunkt in der Systemsteuerung erstellen * Sie können feststellen, dass Sie mehr als einen "RUN" - Schlüssel haben (in meinem Fall hat mein Computer einen WOW6432 Umleitung Subnode so habe ich zwei RUN-Tasten) so halten Sie für alle RUN-Tasten suchen, wo wshelper.exe kann sich verstecken. Ich habe dann einen Neustart durchgeführt und erhalte nicht mehr die nervigen Wondershare Helper-Dialogfelder. Ich habe mich nicht die Mühe gemacht, alle anderen Registrierungseinträge und Festplattenordner zu bereinigen, da ich froh bin, dass alles nicht angehalten und nicht aktiv ist. Ich hoffe, das hilft Menschen in der gleichen Situation.

 -1
Author: Peter Smallwood,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2016-10-01 07:19:10