夸克网盘开机自启怎么关闭？

一、现象层：确认夸克网盘自启行为的可观测特征

• 系统启动后5–15秒内，任务管理器「进程」页签出现 QuarkSync.exe（典型内存占用 80–160 MB）与 Quark.exe（主程序，常驻约 120 MB）；
• 任务管理器「启动」选项卡中无“Quark”或“Kuaishou”相关条目（验证非传统 Startup Entry）；
• 注册表路径 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 及其对应机器级路径均无夸克键值；
• 卸载重装后首次登录账号，QuarkSync.exe 在 30 秒内自动拉起——表明存在持久化机制外挂于安装包逻辑之外。

二、溯源层：v5.0+ 静默注入式启动策略的四大技术载体

经逆向分析与行为监控（ProcMon + Process Hacker + ETW tracing），确认夸克网盘采用复合型启动链，而非单一注册表项：

三、诊断层：构建零依赖本地诊断流水线

以下 PowerShell 脚本（无需安装第三方工具，兼容 Win10/11 22H2+）可一次性枚举全部夸克启动面：

# 全维度夸克自启面扫描（以管理员身份运行）
Write-Host "[1] 计划任务检查..." -ForegroundColor Cyan
schtasks /query /fo LIST /tn "\Quark\QuarkSyncStartup" 2>$null | Select-String "TaskName|Status"

Write-Host "[2] 服务检查..." -ForegroundColor Cyan
Get-Service | Where-Object { $_.Name -like "*quark*" -or $_.DisplayName -like "*夸克*" } | Format-List Name,DisplayName,StartType,Status

Write-Host "[3] 浏览器扩展关联检查..." -ForegroundColor Cyan
Get-ChildItem "HKCU:\Software\Microsoft\Edge\Extensions","HKCU:\Software\Google\Chrome\Extensions" -ErrorAction SilentlyContinue | 
  ForEach-Object { if ((Get-ItemProperty $_.PSPath -Name "update_url" -ErrorAction SilentlyContinue) -match "quark") { $_.PSChildName } }

四、治理层：分阶段安全禁用方案（含回滚保障）

1. 阶段一：阻断计划任务 —— 执行 schtasks /delete /tn "\Quark\QuarkSyncStartup" /f；
2. 阶段二：停用并禁用服务 —— sc stop "QuarkCloudService" && sc config "QuarkCloudService" start= disabled；
3. 阶段三：清理浏览器扩展 —— 进入 chrome://extensions 或 edge://extensions，移除 ID 含 kmldgjnjgknnbikfkgkifnlnlndgkofd 的扩展；
4. 阶段四：卸载 Shell 上下文菜单 —— 运行 reg delete "HKCU\Software\Classes\*\shellex\ContextMenuHandlers\QuarkShellExt" /f；
5. 阶段五：冻结进程拉起（防御性） —— 使用 Windows 内置 AppLocker 创建规则，拒绝 *\QuarkSync.exe 执行（企业环境推荐）。

五、验证层：闭环验证流程图

六、进阶提示：企业级部署管控建议

• 组策略路径：计算机配置 → 管理模板 → Windows 组件 → 应用程序兼容性 → 运行兼容性疑难解答程序，可配合 AppLocker 白名单锁定 %LOCALAPPDATA%\Quark\ 目录；
• 若使用 Intune/MEM，建议通过 Win32 app deployment 推送预配置版夸克（禁用所有自启组件的 MSI 定制包）；
• 长期监控建议启用 Windows Event Log 中的 Microsoft-Windows-TaskScheduler/Operational 日志，过滤 TaskName 包含 “Quark” 的事件 ID 106/129。