安装个pdf(高速下载器捆绑,非自愿安装),居然还带sys驱动,没反安装程序uninst.exe根本删除不掉(部分流氓下载器会删反安装程序)。
没搞懂pdf软件要sys驱动干嘛?就是下面这个文件索引服务?
你以为有反安装程序就能正常卸载了?试过正常卸载后重启系统。打开jpg文件时,这货依然在找存在感。
懂注册表的,可以找到删除ipdf.xxx相关项就能解决上面残留。
假设没反安装程序,怎么办?不管怎么搞都会残留上面那个驱动文件。看下这驱动干了什么,安装后是这样的:
diskdump.sys是系统文件,如果你当成软件的文件删除了,那就搞笑了。pchunter可以看出些问题:
这些行为跟某些驱动木马没什么两样。摘掉回调(不摘删除不掉),执行以下命令并重启后才能删除文件。
当然还有别的方法比如PE或安全模式,安全模式下这个驱动不加载,可以轻松删除。安全模式下看注册表项正常了。
有人会想,没反安装程序,可以下载官方原版覆盖安装后再卸载?然后我试了几个官网的安装包。
百度找到的官网officeoncloud下载的,无忧视频里点击下载的,某些途径找到的pdfww的cn官网下载的。
都是卸载后残留sys文件夹,只有高速下载器的才是特殊的。都有数字签名,官方下载的比下载器的签名更新或更旧都不包含sys文件夹。
导致了官方版覆盖安装了卸载依然残留sys文件夹无法删除。试下文件粉碎吧,测试了管家、火绒、360。
(管家,失败)
(火绒,说成功实际失败)
(360,成功删除)
看到上面结果,估计大家有话要讲。另外我不是水军。
没搞懂pdf软件要sys驱动干嘛?就是下面这个文件索引服务?
你以为有反安装程序就能正常卸载了?试过正常卸载后重启系统。打开jpg文件时,这货依然在找存在感。
懂注册表的,可以找到删除ipdf.xxx相关项就能解决上面残留。
假设没反安装程序,怎么办?不管怎么搞都会残留上面那个驱动文件。看下这驱动干了什么,安装后是这样的:
diskdump.sys是系统文件,如果你当成软件的文件删除了,那就搞笑了。pchunter可以看出些问题:
这些行为跟某些驱动木马没什么两样。摘掉回调(不摘删除不掉),执行以下命令并重启后才能删除文件。
当然还有别的方法比如PE或安全模式,安全模式下这个驱动不加载,可以轻松删除。安全模式下看注册表项正常了。
有人会想,没反安装程序,可以下载官方原版覆盖安装后再卸载?然后我试了几个官网的安装包。
百度找到的官网officeoncloud下载的,无忧视频里点击下载的,某些途径找到的pdfww的cn官网下载的。
都是卸载后残留sys文件夹,只有高速下载器的才是特殊的。都有数字签名,官方下载的比下载器的签名更新或更旧都不包含sys文件夹。
导致了官方版覆盖安装了卸载依然残留sys文件夹无法删除。试下文件粉碎吧,测试了管家、火绒、360。
(管家,失败)
(火绒,说成功实际失败)
(360,成功删除)
看到上面结果,估计大家有话要讲。另外我不是水军。
