王麑 2026-04-10 08:25 采纳率: 98.7%
浏览 0
已采纳

360壁纸屏保卸载后仍自启或残留进程怎么办?

360壁纸屏保卸载后仍自启或残留进程,是典型“卸载不彻底”问题。常见表现为:任务管理器中持续出现`360bp.exe`、`360WallpaperService.exe`等进程;开机自动启动壁纸预览窗或悬浮控件;注册表`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`或`RunOnce`项残留启动项;计划任务中存在“360 Wallpaper AutoStart”等隐藏任务;用户目录下`AppData\Local\360Wallpaper`或`Program Files (x86)\360\360Wallpaper`文件夹未被清除。更隐蔽的是其通过COM组件、服务(如`360WallpaperService`)或WMI事件订阅实现顽固自启,普通卸载程序往往跳过这些深层入口。该问题不仅占用内存与CPU资源,还可能干扰其他屏保/桌面工具运行,甚至引发隐私疑虑(如后台截图、壁纸行为分析)。需结合手动清理+专业工具(如Autoruns、Everything、Geek Uninstaller)深度排查,方能真正根除。
  • 写回答

1条回答 默认 最新

  • 风扇爱好者 2026-04-10 08:25
    关注
    ```html

    一、现象层:典型残留行为识别(What)

    • 任务管理器中持续存在 360bp.exe(主UI进程)、360WallpaperService.exe(后台服务)、360WPTray.exe(托盘守护)等非常驻但高频复活的进程;
    • 开机后自动弹出壁纸预览窗、悬浮控件(如“每日推荐”气泡)、右键桌面菜单残留“360壁纸设置”项;
    • 用户登录即触发高CPU占用(常为 svchost.exe 托管的 WMI 或 COM 活动),且无对应可见服务名;

    二、路径层:启动入口全维度映射(Where)

    入口类型典型路径/位置检测工具建议
    注册表启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run    		Autoruns(勾选 “Logon” + “All” tab)
    计划任务任务计划程序库 → 360 Wallpaper AutoStart360WPUpdateCheck360WPBackgroundTaskSchTasks /query /fo LIST /v | findstr "360"
    服务组件服务名:360WallpaperService(类型:win32_shareprocess,启动类型:Automatic (Delayed))sc queryex "360WallpaperService"

    三、机制层:顽固自启的深层技术原理(How)

    360壁纸屏保采用多级冗余自启架构,远超传统软件设计规范:

    • WMI事件订阅:通过 __FilterToConsumerBinding 绑定 Win32_ProcessStartTraceWin32_LogonSession 事件,监听 Explorer 启动或用户登录,触发 CommandLineEventConsumer 执行 360bp.exe
    • COM对象劫持:在 HKEY_CLASSES_ROOT\CLSID\{...}\InprocServer32 注册伪装 CLSID(如仿造 Shell.Explorer 或 DesktopWindowXamlSource),被系统组件隐式加载;
    • 服务+驱动协同:虽无独立驱动,但 360WallpaperService.exe 通过 NtCreateSection 映射自身到 explorer.exe 地址空间,实现进程内持久化。

    四、排查层:专业工具链协同分析流程

    graph TD A[启动 Autoruns - “Everything” 定位全路径] --> B{发现可疑项?} B -->|是| C[导出注册表/服务/WMI快照对比 baseline] B -->|否| D[使用 Process Monitor 过滤 processname contains '360' & Path includes 'Wallpaper'] C --> E[检查 WMI 命名空间 root\subscription 下 Filter/Consumer] D --> F[捕获 CreateProcess/CreateThread 调用栈溯源] E --> G[执行 powershell -Command "Get-CimInstance -Namespace root\subscription -ClassName __EventFilter | Where-Object Name -like '*360*'"] F --> G G --> H[确认后执行深度清理]

    五、清除层:分阶段根治操作清单(含命令与风险提示)

    1. 停止服务与进程net stop "360WallpaperService" & taskkill /f /im 360bp.exe /im 360WPTray.exe
    2. 删除注册表启动项:使用 reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "360Wallpaper" /f 等批量清理;
    3. 卸载计划任务schtasks /delete /tn "360 Wallpaper AutoStart" /f
    4. 清除WMI订阅Get-CimInstance -Namespace root\subscription -ClassName __FilterToConsumerBinding | Where-Object { $_.Filter -match '360' } | Remove-CimInstance -Confirm:$false
    5. 扫描COM劫持:运行 sigcheck -u -e c:\windows\system32 + autoruns -m -c 查看 InprocServer32 加载异常;
    6. 物理路径清理rd /s /q "%LOCALAPPDATA%\360Wallpaper"rd /s /q "%PROGRAMFILES(X86)%\360\360Wallpaper"
    7. 验证残留:重启后运行 autoruns -a -h -c -s -v > 360_clean_audit.csv,用 Excel 筛选含 “360” 的所有行。

    六、加固层:防御性配置与长期监控建议

    • 启用 Windows Defender Application Control(WDAC)策略,禁止非签名可执行文件在 %APPDATA%%TEMP% 目录运行;
    • 部署 Sysmon v14+,配置 Rule 1(ProcessCreate)过滤 Image contains '360bp' or '360WP',并启用 WMI Event Logging(Rule 22);
    • 对关键注册表路径(如 Run/RunOnce/WMI/COM)启用 auditpol /set /subcategory:"Registry" /success:enable /failure:enable
    • 建立自动化基线比对脚本(PowerShell + HashDB),每周校验 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 及服务列表变更。
    ```
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 已采纳回答 4月11日
  • 创建了问题 4月10日