ESET卸载后残留进程或服务无法彻底清除？

一、现象层：典型残留行为的可观测特征

• 系统托盘持续显示灰色/半透明ESET图标，右键无响应或弹出“服务未运行”提示
• 任务管理器「详细信息」页中，ekrn.exe（PID常为4或高位系统进程）持续占用0.5–3% CPU，且无法通过常规方式结束任务
• egui.exe在用户会话中反复拉起，即使已禁用启动项，亦可能由WMI事件订阅（如Win32_ProcessStartTrace）触发
• 服务管理器（services.msc）中可见已“禁用”但状态为“已停止”的服务：ESET Service、EPFService、ERAServer
• 注册表路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下残留eamon、epf、erac等键，其Start值为0x4（Disabled），但Type为0x1（Kernel Driver）

二、机制层：内核级自保护架构与卸载断点分析

ESET采用分层驱动模型：

三、根因层：四大卸载断裂链路深度解析

1. 权限断裂：标准用户执行卸载程序 → ekrn.exe以NT AUTHORITY\SYSTEM运行但卸载进程无SeLoadDriverPrivilege → 驱动句柄未关闭
2. 状态断裂：休眠/快速启动下，HKLM\SYSTEM\CurrentControlSet为只读快照 → 服务注册表项删除操作实际写入ControlSet001而非激活集
3. 引用断裂：WMI命名空间root\StandardCimv2\Security\Microsoft中残留ESET_AntivirusSetting实例 → 新安全软件WMI查询时引发STATUS_ACCESS_DENIED
4. COM断裂：注册表HKEY_CLASSES_ROOT\CLSID\{A3F8D6C7-...}下残留ESET COM对象 → 导致CoCreateInstance()失败并触发应用级异常

四、验证层：多维度残留检测脚本（PowerShell）

# 检测驱动残留（需管理员）
Get-WindowsDriver -Online | Where-Object {$_.OriginalFileName -match 'eamon|epf|erac'} | Format-List

# 扫描服务注册表残留（跨ControlSet）
$ccs = @('CurrentControlSet','ControlSet001','ControlSet002')
$ccs | ForEach-Object {
  Get-ChildItem "HKLM:\SYSTEM\$($_)\Services" -ErrorAction SilentlyContinue |
    Where-Object { $_.PSChildName -match 'eamon|epf|eraserver|epfservice' } |
    Select-Object PSPath, PSChildName
}

# 检查WMI安全类残留
Get-CimInstance -Namespace 'root\StandardCimv2\Security\Microsoft' -ClassName '__?Antivirus*' -ErrorAction SilentlyContinue

五、解决层：企业级标准化清除流程（含mermaid流程图）