家里游戏电脑被小孩无意中下了2345全家桶,由于平常没有经常ghost备份,所以也不想用ghost来还原很早之前的备份,所以就想手动清理一下

没想到,手动清理过程非常花时间而且不彻底,后面虽然不弹广告了,但还是会被后台偷偷下载程序,虽然由于弹出的安全对话框,让下载的程序已经无法运行起来了,但时不时弹出的对话框一直在提醒我,这场战役还没结束,还没胜利,但靠手工是很难找到躲藏着的后台进程或者驱动,而我的win10系统版本一直停留在1709版本,没有升级,也导致1709版本windows自带的安全中心不给力,无法有效拉截和清理后台的病毒程序,因此,第一步,我不得不把我多年未升级的windows10升级到最新版本20H2
关于如何升级windows就不在这篇文章中写了,请参考其他文章
国产的安全管家,360之类的与2345一丘之貉,更不放心用这些软件去清,而且也清不干净,而且2345全家桶里具然也有他们的存在,这个神奇的国度!
升级到20H2后,首先就解决了一个系统文件被破坏的问题,之前运行
sfc /scannow
或者
DISM.exe /Online /Cleanup-image /Scanhealth  ‘是扫描你全部系统文件并和官方系统文件对比。

来修复也无法成功,当然,升级后可以再次执行这2个之一来确认一下系统文件是否已完全修复,但光升级,并没有解决后台被下载2345全家桶的问题,所以就要用到新版本中的Windows安全中心来发挥作用了。

第一步:打开Window安全中心

按如下顺序点击进入

第二步:进入windows安全中心后,首先进入应用和浏览器控制

在阻止可能不需要的应用这一项,默认是不开启的,选择开启,并勾上全部
在检查应用和文件这里,也选择开启,默认也是不开启的

第三步,切换到病毒和威胁防护这里

这一项,如果没有开,选择开启
[用户]\AppData\Local\Temp文件夹默认是没有加在里面的,但2345全家桶基本上是会下载到这个目录或者[用户]\AppData\Local这个目录,根据自身情况,来添加
到这里,就基本设置完成了,后面就根据Windows安全中心的监测情况来判断处理即可,如我这里,就立马揪出了后台偷偷下载2345全家桶的驱动
我这里分别找到了2个隐藏的后门驱动
  • C:\WINDOWS\system32\drivers\WNZipVirtualCDBus.sys
  • C:\WINDOWS\system32\drivers\sptcom.sys
从此,彻底与2345全家桶告别,永不相见!
下面是windows对应用和浏览器控制功能的介绍,应该就是2345全家桶的克星!
使用应用和浏览器控制页上的设置可以:

  • 阻止不明的应用、文件、恶意网站、下载和 Web 内容。
  • 针对不明的应用、文件、恶意网站、下载和 Web 内容设置警告。