IP-Guard客戶端卸載
首先是生成的文件,別看它安裝程序那麼小,其實生成的文件很多也一點都不小
C:\ProgramFiles\CommonFiles\System
C:\WINDOWS\system32\drivers
C:\WINDOWS\system32
三個文件夾下所有“公司”爲“TECSolutionsLimited.”的文件,約有20多個
============================================
註冊表啓動項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A16CA976-4B8D-47FC-A9F4-651C17B636EF}><C:\WINDOWS\system32\msowcnv3.dll>
============================================
添加的服務
[WindowsHelperService/Winhlpsvr]
<C:\ProgramFiles\CommonFiles\System\winrdgv3.exe>
============================================
加載的驅動文件
[TFsfltdrv/TFsfltdrv]
<C:\WINDOWS\system32\drivers\tfsfltdrv.sys>
[TPacketDriver/TPacket]
<C:\WINDOWS\System32\Drivers\tpacket.sys>
[TSysDrv/TSysDrv]
<C:\WINDOWS\system32\drivers\TSysDrv.sys>
============================================
可以在進程管理中直接看到的兩個進程(通過系統的rundll32程序來運行)
C:\WINDOWS\system32\rundll32.exewinoav3.dllrunagent32
C:\WINDOWS\system32\rundll32.exewinoauv3.dllrunagent32u
============================================
DLL注入(包括但不限於以下進程,有可能有很多,請自行查看每個進程,凡文件廠商爲TECSolutionsLimited.的DLL即是被IP-Guard注入的)
[C:\WINDOWS\system32\winlogon.exe]
[C:\WINDOWS\Explorer.EXE]
[C:\WINDOWS\system32\rundll32.exe]
[C:\WINDOWS\system32\ctfmon.exe]
============================================
API掛鉤(Hookdll:C:\WINDOWS\system32\winhadnt.dll)
入口點:DeleteFileW
入口點:FindFirstFileExW
入口點:CreateFileW
入口點:CopyFileExW
入口點:SHFileOperationW
看它有多毒……凡是創建、刪除、複製、查看等與文件有關的操作全被它控制
======================================================
知道它幹了些什麼就好辦了,對付它用IceSword或者XueTr這樣的工具就可以了,把能刪的全刪,能卸載的全卸,只要看到8235端口沒有被使用就說明它已經不與服務器連接了,並且在重啓後如果那三個文件夾下不再生成文件就說明徹底乾淨了
PS.如果不想完全搞掉它只想不被監視,有個簡單的方法:開機的時候選Ghost工具,用下面的DOS環境把rundll32.exe改個名字就可以了,當然這不是好辦法,因爲rundll32是個有用的系統程序。