卸载不了,越清越多,它到底在后台干啥?
最近装了个看图软件,主页被改成2345,右键多出一堆“加速选项”,连任务管理器里都找不到它在哪儿。我试过 控制面板 卸载、用360扫、甚至重装系统,不到三天,那几个图标又回来了。不是我手懒,是它们压根没打算让你真卸干净。
2345全家桶最绝的是,你只点了个“看图王”的安装包,它就自动往C盘塞七八个文件夹。注册表里藏着`HKEY_LOCAL_MACHINE\ SOFTWARE \2345`,开机时自动拉起一个叫`2345Service`的服务,名字像系统组件,其实连进程树都藏在`svchost.exe`底下。`C:\ ProgramData \2345\`里的启动脚本一动不动,第二天照常弹窗。
360也差不多。点“立即修复”就跳出 360浏览器 安装框,不点它不停。搜索主页被改,连Edge设置里都找不到源头,最后在组策略里翻到`DefaultSearchURL`被硬写死。它那个托盘进程`360SafeTray.exe`会钻进`explorer.exe`里,右键菜单、通知栏、任务栏小图标全是它插的。更气人的是,其实`360SKY`云服务还在后台跑,72小时内偷偷下回360压缩的更新包。
驱动精灵 打着“帮你升级 显卡 驱动”的旗号,点一下“优化”, 金山毒霸 就静默装上。它用 WDK 权限在系统驱动目录塞了`JiDriver.sys`,名字像真驱动,其实是空壳,专门用来躲杀软扫描。卸载时还弹窗问你“是否保留浏览器加速 插件 ”,你不点“否”,它就不删。
快压更阴——它把`.kz`文件做得跟`. ZIP `一模一样。你双击,别的解压软件打不开,只跳出个跳转网页,它根本没按标准ZIP文件头写,第三方软件读到一半就报错,但快压自己能认。`.kz`协议还在注册表挂着,下次点任意`.kz`文件,它立马复活。
鲁大师 连手机也不放过。安卓手机一连上,它就弹“检测到新设备”,勾选框默认打勾,点确认直接装手机助手。桌面还飘个半透明悬浮窗,它用ADB接口静默装APK,连手机都要配合它演戏。卸载后`C:\Program Files (x86)\Ludashi\`里留个`LudashiLauncher.exe`,任务管理器里看是`svchost.exe`,其实进程名是假的。
迅雷 精简版还好,后台还常年挂着`ThunderLiveUpdate.exe`,CPU占用20%也不说一声。卸载器从来不碰`AppData\Local\ThunderNetwork\`,下次重装直接复用。
我试过用 Sandboxie 先跑一遍安装包,看它往哪儿写东西;也用 Process Explorer 抓过进程树,发现`explorer.exe`底下突然冒出个`2345Updater.exe`,父进程ID还伪造了。现在我装软件前必开组策略,再用AdwCleaner和Sofecnkiller各跑一次——一个查行为,一个核签名,两个结果对不上,说明还有漏网之鱼。
也别轻信什么“纯净版”“绿色版”。上个月下个IDM破解包,VirusTotal一查,37%的引擎报CoinMiner。 Everything 搜文件,比什么电脑管家快十倍;7-Zip解压,不用快压也不会中招。
习惯比工具重要。现在我安软件,第一步就是把所有勾选项全取消;第二步打开Autoruns记个快照;第三步,再扫一遍。不是信不过谁,是得亲眼看见它没偷偷回来。
没了。
全部评论