1.“XX卫士”内核为:联软科技有限公司的uniaccess监控系统
2.该系统完成了内部闭环,正常卸载程序需输入密码(未知),隐藏任务管理器、安装文件、注册表内的相关信息,并在注册表、安装路径进行加密。
二、失败策略
1.尝试使用360任务管理器强制停止后进行粉碎--无法强制停止,失败;
2.找到安装路径强制改名导致无法运行--安装路径全部加密,失败;
3.注册表删除--对应注册表已加密无法删除或修改--失败;
4.将C盘格式化并重装系统--重装完成后连桌面文件摆放位置都没变--怀疑联软将系统植入了OEM分区,失败。
三、击穿过程
1.进入安全模式
WIN+R,输入msconfig,“引导”-“安全引导”
2.进入安全模式后通过cmd进行初步扰乱
win+r,输入CMD,跳转至C盘根目录并DIR,找到服务树:UniAccessAgent,UniAccessAgentDaemon及所在位置C:\Windows\LVUAAgentInstBaseRoot。并实施删除:rd /s /q C:\Windows\LVUAAgentInstBaseRoot
3.进一步删除注册表相关条目
win+r,输入regedit,将Uni开头的,以及路径为C:\Windows\LVUAAgentInstBaseRoot条目全部删除。
4.关闭安全引导并重启
5.目前,联软UNI已处于半瘫痪状态,可通过任务栏查看是否已停止运行(若还能看到图标则重复1-4)
6.清除OEM分区
win+r,输入Diskpart,进入完成以下操作
查看电脑所有磁盘:list disk
选中OEM所在磁盘:select disk 0
列出所选磁盘所有分区:list partition
选择OEM所在分区:select partition 2
删除该分区:delete partition override
最后在输入EXIT或者直接关闭
7.扫除余孽
将剩下的余孽通过360粉碎功能处理掉即可
C:\Windows\LVUAAgentInstBaseRoot
C:\UniAccessAgentDownloadData
