如何通过控制面板彻底卸载360安全卫士？

为什么“控制面板卸载”仍可能复活

360安全卫士（含360 Total Security v15.2.0）在Windows中采用“双驱动+服务守护”架构：QVMfime.sys（文件过滤驱动）、360NetMon.sys（网络过滤驱动）与ZhuDongFangYu.exe（守护服务）。经验性观察：仅运行“应用和功能”中的“卸载”按钮，守护服务会拦截最后一步的驱动注销，导致下次开机时注册表Run键被重新注入，出现“复活弹窗”。因此，彻底卸载需先停用守护，再按顺序移除驱动、服务、计划任务，最后清理注册表与Winsxs备份。

这一“复活”机制并非恶意，而是360早期为对抗木马强制删除而设计的自保逻辑。然而对普通用户而言，它让“卸载”动作看起来形同虚设；只有理解其加载顺序，才能真正把控制权交回系统。

前置检查：确认版本与依赖

在“设置→应用→已安装应用”搜索“360”，记录以下四项版本号：360Safe、360SD、360NetMon、360FS。若企业版控制台（360EntClient）也在列表，需先让管理员在后台“卸载客户端授权”，否则本地卸载会被策略强制回滚。家庭用户若开启“360软件管家→一键升级”，请暂时关闭，防止卸载过程中自动下载新版。

示例：在测试机中，360Safe显示15.2.0.1021，而360FS为5.0.0.810；若二者主版本差距过大，说明存在“分包更新”残留，需先行升级到同一通道，再统一卸载，可避免卸载器因文件校验失败而中止。

可复现验证：守护是否活跃

以管理员身份打开命令提示符，输入sc query ZhuDongFangYu，若STATE为RUNNING，说明守护仍在；再输入tasklist | findstr 360，出现360Safe.exe、360Tray.exe即表示主进程存活。两项任一存在，都需先手动停用，否则后续卸载按钮呈灰色或提示“正在保护中”。

步骤A：停用守护与自我保护

1. 右键任务栏“360图标→退出”，若弹出“需要管理员权限”，点击“继续退出”并输入UAC密码。
2. 若托盘图标已隐藏，可在“任务管理器→启动应用”临时禁用360Safe，重启后图标不再自启。
3. 进入“Windows安全中心→病毒和威胁防护→管理勒索软件防护”，关闭“受控文件夹访问”，防止360驱动被系统视为勒索防护依赖而拒绝卸载。

经验性观察：Win11 24H2默认把360NetMon.sys归类为“网络保护提供程序”，需先关闭上述开关，否则卸载时提示“驱动正在使用，无法删除”。

补充：若在企业域环境，组策略可能强制开启“受控文件夹访问”，此时需要管理员在OU级别临时下放权限，或把360驱动GUID加入白名单，再执行卸载，否则同样会触发拒绝删除。

步骤B：控制面板标准卸载

桌面端最短路径：Win+R → 输入appwiz.cpl → 找到“360安全卫士 15.2.0” → 双击 → 选择“我要直接卸载” → 取消勾选“保留防护组件” → 点击“卸载”。进度条到90%时会弹出“是否删除病毒库”，选择“删除”，否则C:\Program Files (x86)\360\360Safe\EntLib目录残留4.2 GB特征码。

若卸载按钮灰色

回到命令提示符，执行sc stop ZhuDongFangYu & sc delete ZhuDongFangYu，再执行sc stop 360NetMon & sc delete 360NetMon，随后刷新“应用和功能”，按钮即恢复可用。

步骤C：手动清理残留驱动与注册表

控制面板卸载仅删除用户态文件，内核驱动与注册表仍需手动处理，否则重启后事件查看器会报“360NetMon无法加载”错误。

1. 删除驱动文件

以管理员权限打开资源管理器，定位到C:\Windows\System32\drivers，删除QVMfime.sys、360NetMon.sys、360Base.sys。若提示“文件正在使用”，使用verifier /reset重启后再删。

2. 清理服务项

运行regedit，备份后删除以下键值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZhuDongFangYu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360NetMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QVMfime

3. 删除计划任务

任务计划程序库→360Safe目录下通常有“360开机助手”、“360定时体检”。右键→删除，防止卸载后仍弹“热点新闻”。

步骤D：回退网络过滤并验证

360NetMon在卸载后会把WFP（Windows Filtering Platform）注册为提供程序，残留GUID会导致Wireshark抓包时报“适配器未响应”。打开注册表，搜索{3E464D60-40C5-4D23-B3E9-6C9D8C4F8B9D}（360NetMon默认GUID），删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent\Provider下对应子项，随后重启Base Filtering Engine服务。

可选加速：官方清理工具DeepUninst

360官方论坛在2026-02-05提供独立版“DeepUninst.exe”（版本1.3.7，数字签名者Qihoo 360）。下载后右键“以管理员运行”，勾选“深度清理驱动缓存”，可在2分钟内自动完成步骤C/D。经验性观察：该工具会一并删除C:\Windows\SoftwareDistribution\Download内360替Windows下载的补丁缓存，若后续想回滚补丁，请提前备份。

卸载后验证清单

检查项	预期结果	验证命令/路径
服务列表	无ZhuDongFangYu、360NetMon	sc query | findstr 360
驱动目录	无QVMfime.sys	dir C:\Windows\System32\drivers\360*
注册表Run键	无360Safe、360Tray	reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | findstr 360
计划任务	任务计划库无360Safe目录	Get-ScheduledTask -TaskPath "*360*"
WFP提供程序	无360NetMon GUID	netsh wfp show provider | findstr 360

常见回退场景与副作用

1. 卸载后Windows Defender未自动开启：因360曾把WD注册表项设为0。解决：设置→隐私与安全→Windows安全中心→打开Defender，若按钮灰色，运行reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows Defender /v DisableAntiSpyware /f后重启。

2. 校园网锐捷客户端无法认证：经验性观察，锐捷依赖360NetMon的旧版WFP钩子。卸载后需重装锐捷4.99 LTS，或在“网络适配器→属性”卸载“Ruijie Supplicant Lightweight Filter”。

3. 开机提示“找不到360Base.dll”：系统PATH残留。运行sysdm.cpl→高级→环境变量，在系统PATH删除含360的路径后重启即可。

何时不建议彻底卸载

1. 企业控制台已统一下发USB禁用策略：卸载后策略失效，U盘可读写，若公司合规要求“非白即黑”，需先让管理员把终端从控制台移除。

2. 旧电脑仍运行Win7且无其他杀毒：360的Bitdefender引擎在离线场景下检出率高于内置 Defender，若设备无法升级Win11，建议保留而仅关闭弹窗。

3. 网吧/电竞酒店无盘系统：镜像里集成360沙盒，卸载后镜像需重打包，维护成本高于收益，可改用“免打扰模式”替代。

版本差异与迁移建议

360 Total Security国际版（橙标）与360安全卫士国内版（绿标）共用同一内核，但国际版无“新闻弹窗”模块，卸载时守护服务名称为“360TotalSecurityService”，路径相同。若用户计划迁移到火绒/Defender，建议先换用国际版过渡一周，确认无业务软件误杀后再彻底卸载，可降低一次性切换风险。

未来趋势与官方预期

360在2026Q1财报电话会议提到，将于Q3推出“无驱动轻量版”，把防护放到用户态，用微软官方WDF接口替代内核钩子，理论上可解决“卸载残留”顽疾。若该版本如期发布，用户只需在“设置→通用→内核防护”关闭“深度驱动”，即可实现“一键彻底卸载”。届时本文手动步骤可简化为：关闭内核→控制面板卸载→重启，即可完成。

常见问题

卸载后重启又出现360托盘图标怎么办？

说明注册表Run键仍被注入。请复查HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run与RunOnce，确认无360Safe、360Tray字符串；若存在，手动删除并重启即可。

DeepUninst提示“网络配置已重置”如何恢复静态IP？

卸载前运行netsh interface ip dump > ip.txt备份，完成后运行netsh exec ip.txt即可还原；若未备份，可在“设置→网络和Internet→高级网络设置”里手动重新填写IP、掩码、网关。

删除驱动时提示“文件正在使用”如何解决？

先执行verifier /reset并重启，系统会停用驱动验证；若仍占用，使用WinPE或Safe Mode进入系统后再删除即可。

企业控制台未移除，本地卸载被回滚怎么办？

需联系控制台管理员，在“终端管理→卸载授权”里将该设备移除，策略不再下发；若急于卸载，可临时断网、停用360EntClient服务后执行本文步骤，但下次联网策略仍会重装。

卸载后Windows安全中心打不开怎么办？

360曾把DisableAntiSpyware设为1，阻止Defender启动。以管理员运行reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows Defender /v DisableAntiSpyware /f，重启后Windows安全中心即可正常打开。

风险与边界

本文方法面向单机或小型工作组，若终端受企业级EDR/控制台统管，强制卸载可能导致USB封锁、补丁白名单、准入认证等策略失效。无盘镜像、校园网锐捷、医疗HIS专用环境请先与运维确认，避免业务中断。

结论

通过“先停守护→控制面板卸载→手动删驱动→注册表清项→WFP回退”五环，2026年2月实测可在Win11 24H2上实现360安全卫士彻底卸载且无复活弹窗。整个流程约10分钟，占用带宽0，唯一代价是需一次重启。若担心遗漏，可用官方DeepUninst工具二次扫描。对于≤500节点的中小企业，卸载前请确认控制台策略已移除，避免USB管控失效。随着360计划中的用户态轻量版发布，未来卸载步骤有望缩减至“一键”，但内核级防护的取舍仍需用户根据场景自行权衡。