IP-Guard客户端卸载
服务器
首先是生成的文件,别看它安装程序那么小,其实生成的文件不少也一点都不小
C:\ProgramFiles\CommonFiles\System
C:\WINDOWS\system32\drivers
C:\WINDOWS\system32
三个文件夹下全部“公司”为“TECSolutionsLimited.”的文件,约有20多个
============================================ide
注册表启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A16CA976-4B8D-47FC-A9F4-651C17B636EF}><C:\WINDOWS\system32\msowcnv3.dll>
============================================工具
添加的服务
[WindowsHelperService/Winhlpsvr]
<C:\ProgramFiles\CommonFiles\System\winrdgv3.exe>
============================================进程
加载的驱动文件
[TFsfltdrv/TFsfltdrv]
<C:\WINDOWS\system32\drivers\tfsfltdrv.sys>
[TPacketDriver/TPacket]
<C:\WINDOWS\System32\Drivers\tpacket.sys>
[TSysDrv/TSysDrv]
<C:\WINDOWS\system32\drivers\TSysDrv.sys>
============================================it
能够在进程管理中直接看到的两个进程(经过系统的rundll32程序来运行)
C:\WINDOWS\system32\rundll32.exewinoav3.dllrunagent32
C:\WINDOWS\system32\rundll32.exewinoauv3.dllrunagent32u
============================================io
DLL注入(包括但不限于如下进程,有可能有不少,请自行查看每一个进程,凡文件厂商为TECSolutionsLimited.的DLL便是被IP-Guard注入的)
[C:\WINDOWS\system32\winlogon.exe]
[C:\WINDOWS\Explorer.EXE]
[C:\WINDOWS\system32\rundll32.exe]
[C:\WINDOWS\system32\ctfmon.exe]
============================================class
API挂钩(Hookdll:C:\WINDOWS\system32\winhadnt.dll)
入口点:DeleteFileW
入口点:FindFirstFileExW
入口点:CreateFileW
入口点:CopyFileExW
入口点:SHFileOperationW
看它有多毒……凡是建立、删除、复制、查看等与文件有关的操做全被它控制
======================================================程序
知道它干了些什么就好办了,对付它用IceSword或者XueTr这样的工具就能够了,把能删的全删,能卸载的全卸,只要看到8235端口没有被使用就说明它已经不与服务器链接了,而且在重启后若是那三个文件夹下再也不生成文件就说明完全干净了方法
PS.若是不想彻底搞掉它只想不被监视,有个简单的方法:开机的时候选Ghost工具,用下面的DOS环境把rundll32.exe改个名字就能够了,固然这不是好办法,由于rundll32是个有用的系统程序。im