IP-Guard 客戶端卸載

IP-Guard客戶端卸載

首先是生成的文件，別看它安裝程序那麼小，其實生成的文件不少也一點都不小
C:\ProgramFiles\CommonFiles\System
C:\WINDOWS\system32\drivers
C:\WINDOWS\system32
三個文件夾下全部「公司」爲「TECSolutionsLimited.」的文件，約有20多個
============================================

註冊表啓動項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A16CA976-4B8D-47FC-A9F4-651C17B636EF}><C:\WINDOWS\system32\msowcnv3.dll>
============================================

添加的服務
[WindowsHelperService/Winhlpsvr]
<C:\ProgramFiles\CommonFiles\System\winrdgv3.exe>
============================================

加載的驅動文件
[TFsfltdrv/TFsfltdrv]
<C:\WINDOWS\system32\drivers\tfsfltdrv.sys>
[TPacketDriver/TPacket]
<C:\WINDOWS\System32\Drivers\tpacket.sys>
[TSysDrv/TSysDrv]
<C:\WINDOWS\system32\drivers\TSysDrv.sys>
============================================

能夠在進程管理中直接看到的兩個進程（經過系統的rundll32程序來運行）
C:\WINDOWS\system32\rundll32.exewinoav3.dllrunagent32
C:\WINDOWS\system32\rundll32.exewinoauv3.dllrunagent32u
============================================

DLL注入(包括但不限於如下進程，有可能有不少，請自行查看每一個進程，凡文件廠商爲TECSolutionsLimited.的DLL便是被IP-Guard注入的)
[C:\WINDOWS\system32\winlogon.exe]
[C:\WINDOWS\Explorer.EXE]
[C:\WINDOWS\system32\rundll32.exe]
[C:\WINDOWS\system32\ctfmon.exe]
============================================

API掛鉤（Hookdll:C:\WINDOWS\system32\winhadnt.dll）
入口點：DeleteFileW
入口點：FindFirstFileExW
入口點：CreateFileW
入口點：CopyFileExW
入口點：SHFileOperationW
看它有多毒……凡是建立、刪除、複製、查看等與文件有關的操做全被它控制
======================================================

知道它幹了些什麼就好辦了，對付它用IceSword或者XueTr這樣的工具就能夠了，把能刪的全刪，能卸載的全卸，只要看到8235端口沒有被使用就說明它已經不與服務器鏈接了，而且在重啓後若是那三個文件夾下再也不生成文件就說明完全乾淨了

PS.若是不想徹底搞掉它只想不被監視，有個簡單的方法：開機的時候選Ghost工具，用下面的DOS環境把rundll32.exe改個名字就能夠了，固然這不是好辦法，由於rundll32是個有用的系統程序。