PT手工卸载微点（杀猫）

童话小米饭

前言：写这帖，仅供参考交流，并不是为了引来口水和诋毁“小点”！

环境：VBox + Windows XP SP3
安装了微点1.2体验版本，一路“下一步”……提示重启系统
右下角托盘信息


1、打开PT 3.8，弹出自保提示框

避免冲突，“否”了
然后进入到【系统修复】页面（扩展名是否隐藏危险？！默认是隐藏的呵呵）
可以看到已安装的杀毒软件——微点主动防御

微点以强悍著称的，所以【配置】中都勾上

2、来到【进程管理】页面，可以看到微点的4个进程，以及红色多数是被微点注入所致
点击PT进程，[模块]显示有mp110031.dll模块注入

这里需要先作下处理：
1）转到[线程]里，看到有一个模块不明的线程（其他线程自己百度吧）

不了解的，先把它“暂停”了
2）[定时器]中，右键“显示所有进程定时器”

看到其中一个是微点的，“摘除”之
3）再转到[进程API钩子]，其中挂钩函数——LoadLibraryExW是PT自身的外，其他的都是微点的
（这里有点不好判断，大家就记住LoadLibraryExW吧）

也“摘除”之
4）再回到[模块]中，右键卸载那注入模块

3、【内核模块】页面中，按“文件厂商”排序，看到微点的驱动很厉害呢

这里先不作处理，因为很危险，大家都懂得……

4、【内核相关】中，[DPC定时器]里发现两个

都摘除掉
[内核回调]中，有三个微点项，这里需注意的是，“摘除回调”操作只要一次

刷新后，看到还有一个，就先放下了（“摘除回调”操作只要一次）

[内核线程]里，也是有两个，关于内核的，最好仅操作暂停，结束的话……


[过滤驱动]，针对防火墙的


PT貌似郁闷了……

【网络】中的网络连接（提前给个图）

5、继续，【钩子】中，[文件系统钩子]里，发现有被挂钩的，反正内核的线程暂停了
就“肆无忌惮”的摘除钩子了

[Object钩子]里，也发现被挂钩项，这里好像恢复不了（本人功力不行啊），不理了

[IAT/EAT钩子]其实就是简单的内核钩子了呵呵

都是微点的，恢复它们

6、【应用层】的[消息钩子]，微点的就三个（操作迟了，因为忘了呵呵）

右键“卸载钩子”

7、【启动项】没发现，【系统服务】里，发现一个微点项

“删除”的话，是提示失败的，所以这里需要用到“强制删除”，刷新后还会出现服务项，
因为写明了“需重启电脑”嘛（也可以看看注册表的）


8、回到【注册表】，找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
微点服务项MPSVC，已经没有了，反而发现了“邪恶”的东西

右键“强制删除”

SOFTWARE中看看……Micropoint

右键“强制删除”

9、操作到这里，就在转回到【进程管理】，把微点的几个进程安全结束，已经不成问题了


因为其他进程的注入模块还未卸载，就由得它们再红一段吧……
托盘的微点，鼠标划过就会消失了


10、卸载文件开始了……【文件】中，大致找了一些


删除文件夹会提示


桌面的图标

安装目录，这里要耐心等待……（祈祷中）

安装目录删除完毕

drivers中

全部选上，都删除之
这样，驱动就不起作用了……

11、配置里快速重启系统



到这里，卸载工作基本完成了！

[此文旨在技术交流，为手工清除强力驱动保护提供了一种思路，并非针对安软，谢谢！            ——by 边缘vip]

ioton

确实很厉害，不过这个测试真的有够蛋疼的
    谁无聊用PT来卸载微点？？

清幻梦沁

楼主要是能自己写出个DEMO那才牛X.

52kafan

理论上，手工操作没有清除不了的问题，只是有时候问题很难弄清楚是什么？

所以，卸载安软的经验自己了解就行了，清除木马可以分享分享

itow

楼主厉害　　　　　　

ithurricane

小米饭好有耐心啊，

不过卸载微点有点

a8856225a

说实话，这个真有点无聊啊。

知微

这个有什么用啊？

lovehhy

a8856225a 发表于 2011-6-26 10:16
说实话，这个真有点无聊啊。

从帖子看，他连起码的很多基础知识都不懂

进程API钩子里面的模块，从图片上看，竟然是被Powertool Hook的。

ithurricane

lovehhy 发表于 2011-6-26 11:37
从帖子看，他连起码的很多基础知识都不懂

进程API钩子里面的模块，从图片上看，竟然是被Powertool Hoo ...

作者已经说了
其中挂钩函数——LoadLibraryExW是PT自身的外，其他的都是微点的

微点确实钩了那几个API，
不是作者的问题，
是PowerTool没有显示正确。。。