请谨慎使用专杀360系列流氓软件

taoyuan237

他的网址http://kill360.t35.com/index.htm

没办法啊，我本来不想计较的
丫的太过分了，没办法，我只好来喷喷


作者无聊我也陪他无聊一把
我倒要看看有啥后果
下面开喷
他所打包的程序全是BAT转的EXE
我提前已经全部还原为BAT
咱首先看看卸载360安全卫士和360杀毒的部分

我们清楚的看到调用chongqi1safe.exe
chongqi1safe的源码我也弄出来了
大家不妨围观下
我会一句一句剖析，看看这个是多么垃圾

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t reg_sz /d "C:\WINDOWS\system32\userinit.exe,C:\Program Files\Kill360\Kweishi.exe" /f

修改Userinit达到启动时自动加载Kweishi.exe的目的
但是这里就有问题了
当系统不再C盘的时候，运行了此条命令系统就没法再启动了
表现为：win登录时，反复注销，或者无法启动到windows桌面
另外当下载解压后安装时不安装到Program Files目录时，此东西也会失效
此项操作是很危险
接下来咱看看下面的命令
type %systemdrive%\boot.ini>%systemdrive%\boot.bak
备份BOOT.INI为BOOT.BAK
attrib -h -r -s %systemdrive%\boot.ini
对BOOT.INI解除隐藏，系统，只读属性
echo multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /safeboot:minimal /sos /bootlog /noguiboot>>%systemdrive%\boot.ini
向BOOT.INI中增加安全模式的启动项
BOOTCFG /Default /ID 2
BOOTCFG /Timeout 0
修改默认启动ID为2
修改默认启动时间为0

到这里我已经不得不喷了
这样做后果可能很严重
当系统非XP时，这个东西完全没意义
当系统为XP但是本来就有2个启动项的时候，会造成致命性的问题
比如BOOT中第二项默认为DOS的时候
他增加的启动项变成了第三项
而命令依然强制默认第二项并且启动时间设定为0
这样重启系统后，就直接进入DOS，就见不到可爱的WINDOWS了
最后shutdown -r -t 0
强制重启，没提示
要是有重要没保存的文档就彻底的泪奔去了
不好意思，我看到这里已经吐了，太脑残了。允许我多吐一下+++++++++++++++++++++++++++++++++++=华丽的分割线=+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
好了吐完了继续看我们继续看看Kweishi.exe
代码依然还原了
上图
第一步删除驱动
因为安全模式360不会启动，包括他所有的驱动和自保
所以，轻松删除
这就是过360的自保啊，真高效啊{:6_382:}
接下来删除几个文件夹
rd /s /q "C:\Program Files\360\360safe"
rd /s /q "C:\Documents and Settings\Administrator\「开始」菜单\程序\360安全卫士"
rd /s /q "C:\360Downloads"
rd /s /q "C:\360Rec"
rd /s /q "C:\Documents and Settings\Administrator\Application Data\360safe"
第一个我就不说什么了，反正作者限定了，只有当360安装在默认目录的时候有效，咱先放过他
第二个我就笑喷了因为只有登录的账户为Administrator的时候才有这个效果，相信不用Administrator这个默认账号的大有人在吧
del "C:\Documents and Settings\Administrator\桌面\360安全卫士.lnk" /q
del "C:\Documents and Settings\Administrator\桌面\360软件管家.lnk" /q
我也不评论什么了
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\360Safe /va /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\360softmgr /va /f
reg delete HKEY_CURRENT_USER\Software\360Safe /va /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\LiveUpdate360 /va /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Classes\360SafeLive.Update /va /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Classes\360SafeLive.Update.2 /va /f
reg delete "HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache" /v "C:\Program Files\360\360safe\antiarp\snetcfg.exe" /f
调用REG命令删除注册表
开头还行，后面的，我科普一下注册表中HK_C_U\Software\Microsoft\Windows\ShellNoRoam\MUICache键值
作用：记录运行过的可执行文件的绝对路径
键值：数值名称为绝对路径，数值数据（为空时，即为exe名称）与版本信息Version info 中
的文件描述FileDescription。

就是一个记录而已，这个就算残留没危害，没影响，这个作者居然专门去一个一个删这玩意蛋疼
拿个卫士清理的结果就说360卸的不干净，理由MUICache下还有这么多东西没删除捏
哈哈哈哈哈，我笑而不语
跳过那一堆垃圾
还有两个大项这玩意都没删除

360自带的卸载程序不知道卸的比这个干净多少
最后几行代码
前面解释过了，不想再解释了
不过这是一个循环
他到了也没把正常模式恢复为默认
执行完卸载，普通用户会惊奇的发现，只能启动安全模式了，而且不能联网，求助无门啊
多的我不想说了
这里是我错了，原帖中也用回帖的方式更正

当bootcfg吧第二项设定为默认的时候
bootcfg会改变BOOT中的顺序
第二项变成了第一项
这样一来
当第二次执行的时候就会还原了
我们可以这样理解
正常系统    BOOT中只有一个正常启动
第一次运行后   BOOT就变成了 安全模式 正常启动
第二次运行后   BOOT就变成了 正常启动 安全模式 安全模式
最后会变成这样
如图（时间是我手动改的否则是0看不见的）
360杀毒的部分差不多，作者想让我继续喷的话，我可以继续
这是我卫士论坛的原帖
大家可以去看看http://bbs.ijinshan.com/viewthre ... p;extra=&page=1
顺便附上他那早期版本我写的分析

lzw555

咳.差点看错标题了...
坐下慢慢看,
我用过,又用金山卫士把它干掉了

lll714775117

[:26:]某人曾今说过：围观此专杀

lwzy2046

咳.差点看错标题了...
坐下慢慢看,
我用过,又用金山卫士把它干掉了
lzw555 发表于 2010.8.10 10:55

我也差点看错了...

jefffire

写这个的人就是NC而已，LZ乃认真就输了

backgood

说真的。
我极少用360*。
不过我还是支持楼主的钻研精神。

shendudaji

。。也看错标题了。。。

轩、

看错标题了刚刚

楼主的第一个链接360说恶意~

taoyuan237

要维护所有人的安全
正义永远不会倒，对于这种东西我坚决一棒子喷死
这不是我叫不叫真的问题，遇到我他该倒霉了

lzw555

回复 2楼 lzw555  的帖子


     我最先回复;
期待LZ被喷后锁帖..
之后又仔细看了看..原来不是写360的...