关于杀软卸载问题
在论坛上看到好多朋友在杀软卸载时出了问题,卸载不干净或是卸了一半,还有不少文件没删除,但是又删除不了。有天就碰到个坛友eav4.0卸载出了问题,关键的服务停不了,况且有自我保护,也没法删除这个服务,重装杀软也不行。经过几天思考,想出这个办法,觉得理论上可行,就来给大家分享下,让大家试一试。理论:我们知道系统内有不少进程是以system权限运行的,比如winlogon.exe等等,所以系统内是有一个system账户的,我们只要激活这个账户,我们的权限就是system了而不是administrator了,而平常是不能操作系统内核的,只能通过expolorer.exe(桌面)这个shell。
工具:mt.exe(用来激活system账户) whoami.exe(用来查看当前账户权限),****这两个都是ms-dos程序,得在cmd下运行****
超级巡警工具箱(个人觉得很不错,功能很全面。扫除杀软遗留文件、服务、启动项等)
最后在用注册表编辑器删除杀软遗留下的一些项
方法:先打开cmd,然后再用任务管理器结束explorer.exe,再用alt+tab切换到cmd,在cmd中运行(mt文件路径)mt -su explorer.exe,等会就有回显了。然后再用whoami查看当前权限,看成功了没有。以前我在2000下测试通过,xp没通过,好像是dep(数据执行保护)干扰了explorer执行堆栈(我对堆栈也是一知半解,谁知道麻烦教教我)。dep关闭方法,把boot.ini文件中的execute=optin改为execute=always off,这样就关闭了dep(得重启)
这样我们获得了系统权限后用工具进行大扫除就行了。清理步骤我就不说了,自己研究研究,动动手,动动脑。
以上只是本人在理论上推导出的方法,没经过实践,要是不能解决问题请大家见谅!要是有不对的地方,请大家多多指正!
付:nod32报mt为病毒,是误报!
刚才又扫了下,都报mt为病毒,应该是误报,不信的话在虚拟机中测试下。因为是操作shell提升权限,所以杀软误认为是木马,因为杀软是面对被动感染用户来说的,不是面对我们主动使用者来说的,比如你主动使用灰鸽子木马客户端,杀软它也报木马。瑞星这次报的还比较准,名字对了。
文件 ______.rar 接收于 2008.12.12 10:05:31 (CET)
反病毒引擎版本最后更新扫描结果AhnLab-V32008.12.12.02008.12.12-AntiVir7.9.0.452008.12.12BDS/Agent.KMAuthentium5.1.0.42008.12.11W32/Backdoor.DATAvast4.8.1281.02008.12.11Win32:GinaPass-EAVG8.0.0.1992008.12.12BackDoor.Agent.DCBitDefender7.22008.12.12Backdoor.Generic.92635CAT-QuickHeal10.002008.12.11-ClamAV0.94.12008.12.12Trojan.Agent-1937Comodo7332008.12.11Backdoor.Win32.Agent.KMDrWeb4.44.0.091702008.12.12BackDoor.GinaeSafe7.0.17.02008.12.11Win32.Agent.kmeTrust-Vet31.6.62572008.12.12-Ewido4.02008.12.11Backdoor.Agent.kmF-Prot4.4.4.562008.12.11W32/Backdoor.DATF-Secure8.0.14332.02008.12.12Backdoor.Win32.Agent.ayuFortinet3.117.0.02008.12.12W32/Agent.KM!tr.bdrGData192008.12.12Backdoor.Generic.92635IkarusT3.1.1.45.02008.12.12Win32.SuspectCrcK7AntiVirus7.10.5512008.12.11Backdoor.Win32.Agent.kmKaspersky7.0.0.1252008.12.12Backdoor.Win32.Agent.ayuMcAfee54612008.12.11BackDoor-CPXMcAfee+Artemis54612008.12.11Generic!ArtemisMicrosoft1.42052008.12.12Backdoor:Win32/Agent.JTNOD3236852008.12.12Win32/Agent.KMNorman5.80.022008.12.11W32/Agent.EYSPanda9.0.0.42008.12.11Bck/Aemon.AHPCTools4.4.2.02008.12.11Trojan.Agent.BUJPrevx1V22008.12.12-Rising21.07.41.002008.12.12Hack.MTSecureWeb-Gateway6.7.62008.12.12Trojan.Backdoor.Agent.KMSophos4.36.02008.12.12Troj/Agent-KMSunbelt3.2.1801.22008.12.11Backdoor.Win32.Agent.kmSymantec102008.12.12HacktoolTheHacker6.3.1.2.1842008.12.11Backdoor/Agent.kmTrendMicro8.700.0.10042008.12.12BKDR_AGENT.DPVBA323.12.8.102008.12.11Backdoor.Win32.Agent.ayuViRobot2008.12.12.15152008.12.12-VirusBuster4.5.11.02008.12.11Trojan.Agent.BUJ
哪位实践一下告诉大家 谢谢 楼主分享 收藏了 其实没必要这么麻烦的...
一般来说,这个帖子里的方法就已经可以了:
https://bbs.vc52.cn/thread-47718-1-1.html 卸不干净的杀软基本属于垃圾杀软 这个方法只能教坏一些不良分子了!!! 不到NOD32让用户伤心不去卸载! ........................... 我要卸载啊~ 好贴,谢谢。