一、弹窗广告的来源分析

Windows系统中的弹窗广告主要来自以下几个渠道：

1. 软件内置广告

很多免费软件通过弹窗广告盈利：

• 输入法软件的"热词推荐"
• 压缩软件的"新闻资讯"
• 杀毒软件的"安全提醒"
• 下载工具的"推荐内容"
• 各种"助手"类软件

2. 计划任务定时弹窗

恶意软件通过Windows计划任务设置定时弹窗：

• 每隔几小时弹出广告网页
• 开机后延迟几分钟弹出推广
• 特定时间弹出"系统优化"提醒

3. 浏览器劫持

• 主页被修改为导航网站
• 新标签页被替换为广告页面
• 搜索结果中插入广告
• 浏览器扩展注入广告代码

4. 系统级广告

• Windows锁屏广告（"Windows聚焦"中的推广）
• 开始菜单推荐应用
• 通知中心的推广消息
• 资源管理器中的"建议"

二、弹窗广告定位与清除

方法1：任务管理器定位广告进程

当弹窗出现时：

1. 不要关闭弹窗
2. 按 Ctrl+Shift+Esc 打开任务管理器
3. 在"进程"选项卡中找到可疑进程
4. 右键 → "打开文件所在的位置"
5. 记录该程序的安装路径
6. 结束进程后卸载对应软件

方法2：检查计划任务

很多定时弹窗通过计划任务实现：

1. 按 Win+R 输入 taskschd.msc 回车
2. 点击"任务计划程序库"
3. 逐个检查任务，重点关注：

• 名称包含"update"、"news"、"push"、"ad"等关键词的任务
• 触发器为"登录时"、"每隔X小时"的任务
• 操作为启动浏览器打开特定网址的任务

1. 右键删除可疑任务

常见恶意计划任务名称：

XXXNewsPush
XXXUpdateCheck
HotNewsService
SystemOptimizer
DailyRecommend

方法3：检查启动项

1. Ctrl+Shift+Esc → 启动选项卡
2. 禁用所有不必要的启动项
3. 特别关注名称模糊、发布者不明的启动项

方法4：检查注册表启动项

Win+R → regedit

检查以下路径：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

删除指向可疑程序的键值。

三、流氓软件卸载与清除

1. 识别流氓软件特征

• 安装时捆绑其他软件
• 无法通过控制面板正常卸载
• 卸载后残留服务和驱动
• 自动恢复已删除的文件
• 修改浏览器主页和搜索引擎

2. 正常卸载流程

设置 → 应用 → 已安装的应用 → 找到目标软件 → 卸载

如果正常卸载失败，尝试以下方法：

3. 安全模式卸载

1. 按住Shift键点击"重启"
2. 选择"疑难解答" → "高级选项" → "启动设置" → "重启"
3. 按F4进入安全模式
4. 在安全模式下卸载流氓软件

4. PE环境下强制删除

如果软件在正常模式下无法卸载：

1. 使用晨枫U盘启动盘启动电脑
2. 进入PE系统
3. 找到软件安装目录，直接删除整个文件夹
4. 使用注册表编辑器删除相关键值
5. 检查 C:\Windows\System32\drivers 删除可疑驱动文件

5. 清理残留

卸载后检查以下位置是否有残留：

服务残留：

Win+R → services.msc → 检查是否有残留服务

驱动残留：

设备管理器 → 查看 → 显示隐藏的设备 → 删除灰色图标设备

文件残留：

C:\Program Files
C:\Program Files (x86)
C:\ProgramData
C:\Users\用户名\AppData

四、浏览器劫持修复

1. 修复浏览器主页

Chrome：

设置 → 启动时 → 选择"打开新标签页"或设置指定页面
→ 搜索引擎 → 设置默认搜索引擎

Edge：

设置 → 开始、主页和新标签页 → 修改设置

2. 清理浏览器扩展

• Chrome：chrome://extensions/ → 删除不明扩展
• Edge：edge://extensions/ → 删除不明扩展
• Firefox：about:addons → 删除不明扩展

3. 重置浏览器设置

如果劫持严重，可以重置浏览器：

Chrome：设置 → 重置设置 → 将设置还原为原始默认设置
Edge：设置 → 重置设置 → 将设置还原为其默认值

4. 修复DNS设置

恶意软件可能修改DNS实现广告注入：

设置 → 网络和Internet → 更改适配器选项
→ 右键网卡 → 属性 → IPv4 → 使用自动获取DNS
或手动设置为：
首选DNS：223.5.5.5（阿里DNS）
备用DNS：114.114.114.114

五、系统级广告关闭

1. 关闭Windows锁屏广告

设置 → 个性化 → 锁屏界面
→ 背景选择"图片"（而非"Windows聚焦"）
→ 取消勾选"在锁屏界面上获取花絮、提示等"

2. 关闭开始菜单推荐

设置 → 个性化 → 开始
→ 关闭"偶尔在'开始'中显示建议"
→ 关闭"显示最近添加的应用"
→ 关闭"显示最近打开的项目"

3. 关闭通知中心广告

设置 → 系统 → 通知
→ 关闭"获取来自应用的通知"中的推广类通知
→ 或关闭特定应用的通知权限

4. 关闭资源管理器广告

文件资源管理器 → 查看 → 选项
→ 隐私 → 取消勾选"显示最近使用的文件"
→ 取消勾选"显示常用文件夹"

六、使用晨枫PE工具箱深度清除

当恶意软件在正常模式下无法清除时，可以使用晨枫PE工具箱：

1. PE环境下的文件删除

在PE系统中，恶意软件的保护机制不会运行，可以直接删除：

• 被占用的文件
• 受保护的驱动文件
• 系统目录中的恶意文件

2. PE环境下的注册表修复

使用PE中的注册表编辑器：

1. 加载目标系统的注册表配置单元
2. 删除恶意启动项
3. 修复被篡改的系统设置
4. 恢复被修改的文件关联

3. PE环境下的全盘扫描

使用PE内置的杀毒工具进行全盘扫描，清除顽固恶意软件。

七、预防措施

1. 软件安装注意事项

• 从官方网站下载软件，避免使用"高速下载器"
• 安装时选择"自定义安装"，取消勾选捆绑软件
• 注意安装界面中的小字和预选框
• 不要安装来路不明的"破解版"软件

2. 日常使用习惯

• 不点击不明链接和弹窗
• 不安装浏览器推荐的"加速插件"
• 定期检查启动项和计划任务
• 保持Windows Defender实时保护开启

3. 定期维护

• 每周检查一次启动项
• 每月清理一次临时文件
• 每季度全盘扫描一次病毒
• 及时更新系统和软件补丁

八、常见问题解答

Q1：弹窗广告清除后又出现怎么办？

A：说明清除不彻底，可能有多个广告源。需要同时检查计划任务、启动项、注册表、服务等多个位置。建议使用晨枫PE在PE环境下彻底清除。

Q2：如何区分正常软件通知和恶意广告？

A：正常软件通知通常与软件功能相关（如下载完成、消息提醒），可以在软件设置中关闭。恶意广告通常推广无关内容（如游戏、购物、"系统优化"），且无法在软件设置中关闭。

Q3：浏览器主页反复被篡改怎么解决？

A：1）清除浏览器扩展；2）检查快捷方式目标是否被添加参数；3）修复注册表中的主页设置；4）检查计划任务是否有定时修改任务；5）扫描恶意软件。

Q4：PE环境下能清除所有恶意软件吗？

A：大部分恶意软件可以在PE环境下清除，但少数Rootkit级别的恶意软件可能需要更专业的工具。对于普通用户遇到的弹窗广告和流氓软件，PE环境基本可以完全解决。

Q5：清除广告后系统变慢了怎么办？

A：可能是某些系统文件被恶意软件损坏。运行 sfc /scannow 修复系统文件，或使用晨枫PE工具箱中的系统修复功能进行修复。