如何删除自我保护性强的程序

Q:这是我的个人电脑，我并不需要连接学校或公司的内网.我想要删掉此程序，但在菜单栏里找不到它，也就是说我并没有运行这个程序。另外，在卸载或更改程序的控制面板里，也没有找到深信服相关的程序。请问我该如何删除这个程序？

A:深信服的企业级安全组件（特别是其终端安全管理 EDR 或零信任客户端的残留模块）通常具有极强的自我保护机制。为了防止终端用户私自关闭，它们会故意在"程序和功能"列表中隐藏卸载入口，并以高权限系统服务（甚至是内核级驱动）静默运行。

要彻底删除这类具备"防篡改"特性的常驻程序，请按照以下步骤进行系统级清理：

1. 定位程序物理路径

首先需要获取该进程的绝对路径。

1. 按 Ctrl + Shift + Esc 打开任务管理器。

2. 切换到详细信息 选项卡，找到 sangforpwex.exe。

3. 右键点击该进程，选择打开文件所在的位置。

4. 保持这个文件夹窗口开启，记下它的路径（通常位于 C:\Program Files (x86)\Sangfor 或 C:\ProgramData\Sangfor）。

2. 尝试结束进程与服务

由于有守护进程保护，直接删除文件会提示"拒绝访问"或"文件正在被使用"。

1. 按 Win + X 打开菜单，选择Windows 终端 (管理员) 或 命令提示符 (管理员)。

2. 尝试强制结束进程树：

   taskkill /f /t /im sangforpwex.exe

3. 紧接着按 Win + R 输入 services.msc 打开服务管理器。寻找名称中包含 Sangfor 或深信服拼音缩写的服务（例如 Sangfor WatchDog 等）。

4. 右键点击这些服务，选择属性 。将"启动类型"改为禁用 ，并点击停止。

5. 返回刚才打开的文件夹，尝试将整个 Sangfor 文件夹删除。

(然后我使用火绒的文件粉碎工具进行删除了，下面的步骤没有执行)

3. 使用安全模式强制粉碎（如果上述步骤被拒绝访问）

企业级安全软件通常会在内核层拦截结束进程和删除文件的请求。如果第 2 步失败，进入安全模式是绕过其驱动拦截最直接有效的方法。

进入安全模式：

1. 按 Win + R 输入 msconfig，回车打开系统配置。
2. 切换到引导选项卡。
3. 勾选安全引导 ，选择最小。
4. 点击确定，然后选择重新启动。

在安全模式下执行清理：

1. 重启进入安全模式后，深信服的底层驱动和服务将不会被系统加载。
2. 直接导航到第 1 步中找到的 Sangfor 文件夹所在的根目录。
3. 选中整个 Sangfor 文件夹，按 Shift + Delete 彻底跳过回收站删除。
4. 清理服务注册（可选但推荐） ：
   • 按 Win + R 输入 regedit 打开注册表编辑器。
   • 导航至 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。
   • 找到所有以 Sangfor 开头的项（Key），右键直接删除。

退出安全模式：

1. 再次按 Win + R 输入 msconfig。
2. 在"引导"选项卡中，取消勾选"安全引导"。
3. 点击确定并重启电脑。

重启后，系统会回到正常状态，该进程及其所有关联组件将被彻底清除，移动硬盘的弹出也不会再受其阻碍。

Q:我使用火绒的文件粉碎工具，将 C 盘 Program Files 当中的 sangfor 文件夹删除了。请问我还应该做哪一些事情来更加干净地删除掉所有相关的文件？

A:使用火绒的文件粉碎功能确实是非常直接且有效的"暴力拔除"手段。既然核心的 Program Files 文件夹已经被粉碎，占用移动硬盘的 sangforpwex.exe 进程肯定已经不复存在，你的移动硬盘现在应该已经可以安全弹出了。

但是，暴力粉碎仅仅是物理上删除了业务代码。作为企业级网络/安全软件，深信服在你的系统中还深深扎根了其他组件，比如内核驱动、系统服务注册表、虚拟网卡以及隐藏的配置数据。如果不把这些清理掉，Windows 在每次开机时仍然会尝试去加载这些已经不存在的文件，可能导致系统日志里出现大量错误，或者在底层残留无用的网络过滤规则。

为了达到彻底干净的状态，请按照以下步骤进行"扫尾"工作：

1. 清理注册表中的残留服务（最重要）

由于 .exe 已经被你粉碎，系统服务管理器中残留的深信服服务现在处于"找不到可执行文件"的瘫痪状态，我们需要把它们从注册表中抹去。

1. 按 Win + R 输入 regedit 回车，打开注册表编辑器。

2. 导航到以下路径：

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

3. 在 Services 目录下，仔细寻找所有以 Sangfor、SF 或 EDR 开头的项（文件夹）。常见的有 Sangfor WatchDog、Sangfor VPN 等。

4. 找到后，直接右键将其删除。

2. 清除底层的内核驱动文件 (.sys)

深信服通常会安装网络过滤驱动或文件系统驱动，这些驱动文件一般存放在系统的核心驱动目录下。

1. 打开资源管理器，进入目录：C:\Windows\System32\drivers

2. 在搜索框中搜索 sangfor，或者按字母顺序寻找以 sangfor 或 sf 开头的 .sys 文件（例如 sangfor.sys、sfdrv.sys 等）。

3. 如果找到了，请将它们删除。如果提示被占用，可以使用火绒的粉碎工具再次将它们粉碎。

4. 注意：删除前请仔细核对文件名，确保它明确属于深信服，不要误删了微软或其他硬件的官方驱动。

3. 卸载残留的虚拟网卡（针对 VPN 客户端）

如果你之前安装的是 EasyConnect（深信服的 VPN），它会在系统中创建一张虚拟网卡来接管网络流量。

1. 按 Win + X 打开设备管理器。

2. 展开网络适配器。

3. 寻找名称中带有 Sangfor、Virtual Network 或类似深信服字眼的网卡设备。

4. 右键点击它，选择卸载设备 。如果弹出提示框，务必勾选"尝试删除此设备的驱动程序"，然后点击卸载。

4. 清理隐藏的配置与日志数据

程序本体虽然没了，但用户数据通常还留在系统盘的其他位置。

1. 全局数据 ：打开资源管理器，在地址栏直接输入 C:\ProgramData 并回车（这是一个隐藏文件夹）。在里面寻找 Sangfor 文件夹并删除。

2. 用户数据 ：按 Win + R 输入 %appdata% 回车（通常进入 Roaming 目录），寻找并删除 Sangfor 文件夹。然后再退回上一级进入 Local 目录，同样寻找并删除 Sangfor 文件夹。

5. 彻底重启系统

完成以上所有步骤后，务必重启一次电脑。

重启的作用是让 Windows 重新加载注册表，彻底从内存中卸载并丢弃那些已经被你粉碎或删除的驱动和服务句柄。重启之后，深信服相关的组件在你的电脑上就属于彻底被"物理超度"了。