IP-Guard 客户端卸载
2013-10-12 14:50
519 查看
IP-Guard客户端卸载
首先是生成的文件,别看它安装程序那么小,其实生成的文件很多也一点都不小
C:\ProgramFiles\CommonFiles\System
C:\WINDOWS\system32\drivers
C:\WINDOWS\system32
三个文件夹下所有“公司”为“TECSolutionsLimited.”的文件,约有20多个
============================================
注册表启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A16CA976-4B8D-47FC-A9F4-651C17B636EF}><C:\WINDOWS\system32\msowcnv3.dll>
============================================
添加的服务
[WindowsHelperService/Winhlpsvr]
<C:\ProgramFiles\CommonFiles\System\winrdgv3.exe>
============================================
加载的驱动文件
[TFsfltdrv/TFsfltdrv]
<C:\WINDOWS\system32\drivers\tfsfltdrv.sys>
[TPacketDriver/TPacket]
<C:\WINDOWS\System32\Drivers\tpacket.sys>
[TSysDrv/TSysDrv]
<C:\WINDOWS\system32\drivers\TSysDrv.sys>
============================================
可以在进程管理中直接看到的两个进程(通过系统的rundll32程序来运行)
C:\WINDOWS\system32\rundll32.exewinoav3.dllrunagent32
C:\WINDOWS\system32\rundll32.exewinoauv3.dllrunagent32u
============================================
DLL注入(包括但不限于以下进程,有可能有很多,请自行查看每个进程,凡文件厂商为TECSolutionsLimited.的DLL即是被IP-Guard注入的)
[C:\WINDOWS\system32\winlogon.exe]
[C:\WINDOWS\Explorer.EXE]
[C:\WINDOWS\system32\rundll32.exe]
[C:\WINDOWS\system32\ctfmon.exe]
============================================
API挂钩(Hookdll:C:\WINDOWS\system32\winhadnt.dll)
入口点:DeleteFileW
入口点:FindFirstFileExW
入口点:CreateFileW
入口点:CopyFileExW
入口点:SHFileOperationW
看它有多毒……凡是创建、删除、复制、查看等与文件有关的操作全被它控制
======================================================
知道它干了些什么就好办了,对付它用IceSword或者XueTr这样的工具就可以了,把能删的全删,能卸载的全卸,只要看到8235端口没有被使用就说明它已经不与服务器连接了,并且在重启后如果那三个文件夹下不再生成文件就说明彻底干净了
PS.如果不想完全搞掉它只想不被监视,有个简单的方法:开机的时候选Ghost工具,用下面的DOS环境把rundll32.exe改个名字就可以了,当然这不是好办法,因为rundll32是个有用的系统程序。
首先是生成的文件,别看它安装程序那么小,其实生成的文件很多也一点都不小
C:\ProgramFiles\CommonFiles\System
C:\WINDOWS\system32\drivers
C:\WINDOWS\system32
三个文件夹下所有“公司”为“TECSolutionsLimited.”的文件,约有20多个
============================================
注册表启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A16CA976-4B8D-47FC-A9F4-651C17B636EF}><C:\WINDOWS\system32\msowcnv3.dll>
============================================
添加的服务
[WindowsHelperService/Winhlpsvr]
<C:\ProgramFiles\CommonFiles\System\winrdgv3.exe>
============================================
加载的驱动文件
[TFsfltdrv/TFsfltdrv]
<C:\WINDOWS\system32\drivers\tfsfltdrv.sys>
[TPacketDriver/TPacket]
<C:\WINDOWS\System32\Drivers\tpacket.sys>
[TSysDrv/TSysDrv]
<C:\WINDOWS\system32\drivers\TSysDrv.sys>
============================================
可以在进程管理中直接看到的两个进程(通过系统的rundll32程序来运行)
C:\WINDOWS\system32\rundll32.exewinoav3.dllrunagent32
C:\WINDOWS\system32\rundll32.exewinoauv3.dllrunagent32u
============================================
DLL注入(包括但不限于以下进程,有可能有很多,请自行查看每个进程,凡文件厂商为TECSolutionsLimited.的DLL即是被IP-Guard注入的)
[C:\WINDOWS\system32\winlogon.exe]
[C:\WINDOWS\Explorer.EXE]
[C:\WINDOWS\system32\rundll32.exe]
[C:\WINDOWS\system32\ctfmon.exe]
============================================
API挂钩(Hookdll:C:\WINDOWS\system32\winhadnt.dll)
入口点:DeleteFileW
入口点:FindFirstFileExW
入口点:CreateFileW
入口点:CopyFileExW
入口点:SHFileOperationW
看它有多毒……凡是创建、删除、复制、查看等与文件有关的操作全被它控制
======================================================
知道它干了些什么就好办了,对付它用IceSword或者XueTr这样的工具就可以了,把能删的全删,能卸载的全卸,只要看到8235端口没有被使用就说明它已经不与服务器连接了,并且在重启后如果那三个文件夹下不再生成文件就说明彻底干净了
PS.如果不想完全搞掉它只想不被监视,有个简单的方法:开机的时候选Ghost工具,用下面的DOS环境把rundll32.exe改个名字就可以了,当然这不是好办法,因为rundll32是个有用的系统程序。
相关文章推荐
- IP-Guard客户端装不上解决思路
- Tcp/Ip网络要点二(简易客户端编写)
- tigase客户端通过ip访问 Not able to connect Android client with local XMPP server
- 通过nginx反向代理,Tomcat获取真实的客户端IP而非服务器IP
- X-Forwarded-For 负载均衡 7 层 HTTP 模式获取来访客户端真实 IP 的方法(IIS/Apache/Nginx/Tomcat)
- php获取客户端真实IP 防止代理和作弊
- 深入分析几种PHP获取客户端IP的情况
- ELB的后端nginx使用X-Forwarderd-For获得原始客户端IP
- Apache mina 获取远程客户端IP
- tcp/ip UDP 服务器、客户端的连接 14.5.14
- ASP.NET获取客户端IP及MAC地址
- IP Source Guard 配置
- DataSnap如何监控Tcp/IP客户端的连接情况
- asp.net 获得客户端ip
- oracle 客户端可以连接11g rac vip 但是不能连接scan ip问题
- inet_ntoa将客户端的IP和port写入M…
- ASP.NET获取客户端IP及MAC地址
- socket C/C++编程(1)通过服务器的外网ip,对服务器进行远程端口的登录访问(以win10客户端远程访问外网ubuntu服务器为例)
- 客户端获取游客IP,获取客户地理信息,展示地图
- 模拟多个客户端IP发送udp包