360破坏程序

huangsijun17

前同事让我帮她远程装个插件，我就顺便处理一下弹窗广告之类，然后就发现了这个：

当时360报的是指向bat的自启动程序，而非木马/病毒。

---

个人怀疑：1. 360的签名被半破解，exe别加入了恶意代码。
2. 360自己的卸载机制被恶意利用。

沧桑浪子

应该是官方的程序，不算木马病毒，用于重启电脑删除残余文件！你卸载360后是不是没有第一时间重启电脑？

huangsijun17

沧桑浪子 发表于 2021-10-26 15:10
应该是官方的程序，不算木马病毒，用于重启电脑删除残余文件！你卸载360后是不是没有第一时间重启电脑？

刚才有卸载国际版，重启删除用的？
前面安装国内版本后防护开启不正常。外加有2345和火萤等的残留，我当也是恶意程序了。

白崎桑

沧桑浪子

de C:\Users\lenovo\AppData\Roaming\360safe\LiveUpdateLog\P2SP_sesvc.log
rd C:\Users\lenovo\AppData\Roaming\360safe\LiveUpdateLog
rd C:\Users\lenovo\AppData\Roaming\360safe
de C:\WINDOWS\system32\drivers\qutmdrv.sys
de C:\WINDOWS\system32\drivers\hookport.sys
de C:\WINDOWS\system32\drivers\BAPIDRV.sys
de C:\WINDOWS\system32\drivers\BAPIDRV64.sys
de C:\WINDOWS\system32\drivers\360AntiHacker.sys
de C:\WINDOWS\system32\drivers\360AntiHacker64.sys
de C:\WINDOWS\system32\drivers\qutmipc.sys
de C:\WINDOWS\system32\drivers\360netmon.sys
de C:\WINDOWS\system32\drivers\EfiMon.sys
de C:\WINDOWS\system32\drivers\360FsFlt.sys
de C:\WINDOWS\system32\drivers\360SelfProtection.sys
de C:\WINDOWS\system32\drivers\360AvFlt.sys
de C:\WINDOWS\system32\drivers\360AvFlt64.sys
de C:\WINDOWS\system32\drivers\DsArk.sys
de C:\WINDOWS\system32\drivers\DsArk.DAT
de C:\WINDOWS\system32\drivers\DsArk64.sys
de C:\Program Files (x86)\360\Total Security\360Base.dll
de C:\Program Files (x86)\360\Total Security\360Conf.dll
de C:\Program Files (x86)\360\Total Security\360NetBase.dll
de C:\Program Files (x86)\360\Total Security\360TSCommon.dll
de C:\Program Files (x86)\360\Total Security\360Util.dll
de C:\Program Files (x86)\360\Total Security\AntiAdwa.dll
rd C:\Program Files (x86)\360\Total Security\config\newui\themes\default
rd C:\Program Files (x86)\360\Total Security\config\newui\themes
rd C:\Program Files (x86)\360\Total Security\config\newui
rd C:\Program Files (x86)\360\Total Security\config
de C:\Program Files (x86)\360\Total Security\config.ini
de C:\Program Files (x86)\360\Total Security\CrashReport.dll
de C:\Program Files (x86)\360\Total Security\deepscan\360Quarant.dll
de C:\Program Files (x86)\360\Total Security\deepscan\cloudcom2.dll
de C:\Program Files (x86)\360\Total Security\deepscan\qutmload.dll
rd C:\Program Files (x86)\360\Total Security\deepscan
de C:\Program Files (x86)\360\Total Security\i18n\zh-CN\safemon\Safemon.dll.locale
rd C:\Program Files (x86)\360\Total Security\i18n\zh-CN\safemon
rd C:\Program Files (x86)\360\Total Security\i18n\zh-CN
rd C:\Program Files (x86)\360\Total Security\i18n
de C:\Program Files (x86)\360\Total Security\I18N.dll
de C:\Program Files (x86)\360\Total Security\ipc\360Box.dll
de C:\Program Files (x86)\360\Total Security\ipc\ipcService.dll
de C:\Program Files (x86)\360\Total Security\ipc\X64For32Lib.dll
rd C:\Program Files (x86)\360\Total Security\ipc
de C:\Program Files (x86)\360\Total Security\MenuEx64.dll
de C:\Program Files (x86)\360\Total Security\safemon\360GuardBase.dll
de C:\Program Files (x86)\360\Total Security\safemon\iNetSafe.dll
de C:\Program Files (x86)\360\Total Security\safemon\safehmpg64.dll
de C:\Program Files (x86)\360\Total Security\safemon\safemon.dll
de C:\Program Files (x86)\360\Total Security\safemon\safemon64.dll
de C:\Program Files (x86)\360\Total Security\safemon\SafeWrapper.dll
de C:\Program Files (x86)\360\Total Security\safemon\SomProxy.dll
de C:\Program Files (x86)\360\Total Security\safemon\wdui2.dll
rd C:\Program Files (x86)\360\Total Security\safemon
de C:\Program Files (x86)\360\Total Security\sites.dll
de C:\Program Files (x86)\360\Total Security\Uninstall.exe
rd C:\Program Files (x86)\360\Total Security
rd C:\Program Files (x86)\360\Total Security\SoftMgr
de C:\Program Files (x86)\360\Total Security\leakrepair.dat
de C:\Program Files (x86)\360\Total Security\uninst.exe
rd C:\Program Files (x86)\360\Total Security

360国际版，而且还是个联想电脑
start /WAIT "" C:\Users\lenovo\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_360tray.exe /path=(C:\Users\lenovo\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.ini) /id=(7100)
del /q "C:\Users\lenovo\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_360tray.exe"
del /q "C:\Users\lenovo\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.ini"
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v "360safeuninst_1f0fb7c2d13cc0c07ff2ca40747bc03e" /f
del /q "C:\Users\lenovo\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat"

kuroandsan

Norton

文件名: 1f0fb7c2d13cc0c07ff2ca40747bc03e_360tray.exe
完整路径: C:\Users\kuroa\Downloads\Temp里的360卸载程序\1f0fb7c2d13cc0c07ff2ca40747bc03e_360tray.exe

____________________________
____________________________

开发人员
QIHU 360 SOFTWARE CO. LIMITED

版本
8.6.0.1004

已识别
2021/10/26 ( 17:16:39 )

上次使用时间
不可用

启动项
否

__________________________

多数用户信任的文件
Norton 社区中有几十万用户 使用了此文件。

发布已久的文件
该文件已在 5 年 3 个月 前发行。

信任
Norton 为此文件指定的分级为可信。

___________________________

源文件:
1f0fb7c2d13cc0c07ff2ca40747bc03e_360tray.exe
____________________________

文件指纹 - SHA:
4c74ed8a8e1faad8c5572b3d2260e0f3b2ae379bf1d697da586d64e23a4b272c
文件指纹 - MD5:
69d50f8b1a5c1dca66f5fa5a267b44e1

金山毒霸查杀扫描鉴定文件安全

wwwab

这不挺正常的

现在的软件卸载程序卸载软件的时候通常会自我复制一份进临时文件夹，然后再调用执行那一份文件来进行卸载操作的

不然你可以假想一下：卸载程序在安装目录里面，如果卸载程序就算真的能够把安装目录删除了，卸载程序自己又没在内存里面，也没在临时文件夹里面，如果整个卸载流程还没有全部执行完成，在没卸载完成之前卸载程序不就提前崩了？

hsunyao

360不加驱会死吗

huangsijun17

wwwab 发表于 2021-10-26 21:17
这不挺正常的

现在的软件卸载程序卸载软件的时候通常会自我复制一份进临时文件夹，然后再调用执行那一份 ...

bat被360报风险启动项，然后删了。