删除流氓软件小黑记事本流氓代码HNShell64.dll

小黑记事本，真的很黑！！

小朋友不懂电脑安装Mincraft 模组或某款解压软件(快解压或易解压)的时候，被捆绑安装了很多乱七八糟的程序。其它都还好，比较容易卸载掉。其中最黑的就是小黑记事本。表面上是卸载了，但是留有后门或是木马程序在系统中（HNote/HNShell64.dll for win 64）。而且该dll文件还删不掉，总提示被其它程序打开。任务管理器-->性能-->打开资源监视器-->关联句柄中搜索，居然找不到关联该文件的进程。

无赖之下，打开安全模式，win 10进入安全模式的方法有点复杂，参考百度经验：https://jingyan.baidu.com/article/fdbd4277f29bddb89e3f4896.html

直接删除，仍然不行。不过这次提示是该文件已经被explorer打开。这就很奇怪了，我并没有查看或打开该文件所在的目录。再次搜索关联句柄，发现一个叫dwm.exe的程序关联了该文件，而且是一个DWM-1的用户。尝试kill dwm.exe，失败。立即会启动另一个同名进程。百度一下dwm.exe好像是微软的一个系统进程。dwm是怎么关联HNShell64.dll的呢？猜测是HNote把HNShell64.dll注入到了dwm的动态库中，如果是真的，怎样才能解除这种关联呢？......

既然不能删除，能不能把HNShell64.dll中的内容修改了，比如全删，只写个0到里面。尝试了一下，仍然失败。不能删除，不能修改，能不能改个名字呢？这样下次系统启动的时候就不会加载该文件了。再次尝试，居然成功了。于是重启系统，终于能够删除了。

虽然删除了，但系统中应该还是留有它的启动接口。另外，这种方法，也可能是侥幸的，如果连名字都不能修改，这种方法就无效了。

总之，小黑记事本，就是TMD一流氓软件，干这事的人，也不会是什么好鸟！诅咒他们！