##IP-Guard 整个一裹着信息安全软件外衣的超级流氓,下面来看一下它对我们的系统都干了什么。首先是生成的文件,别看它安装程序那么小,其实生成的文件很多也一点都不小C:/Program Files
##IP-Guard 整个一裹着信息安全软件外衣的超级流氓,下面来看一下它对我们的系统都干了什么。
首先是生成的文件,别看它安装程序那么小,其实生成的文件很多也一点都不小
C:/Program Files/Common Files/SystemC:/WINDOWS/system32/driversC:/WINDOWS/system32三个文件夹下所有“公司”为“TEC Solutions Limited.”的文件,约有20多个注册表启动项
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]<{A16CA976-4B8D-47FC-A9F4-651C17B636EF}><C:/WINDOWS/system32/msowcnv3.dll>添加的服务
[Windows Helper Service / Winhlpsvr]<C:/Program Files/Common Files/System/winrdgv3.exe>加载的驱动文件
[TFsfltdrv / TFsfltdrv]<C:/WINDOWS/system32/drivers/tfsfltdrv.sys>[TPacket Driver / TPacket]<C:/WINDOWS/System32/Drivers/tpacket.sys>[TSysDrv / TSysDrv]<C:/WINDOWS/system32/drivers/TSysDrv.sys>可以在进程管理中直接看到的两个进程(通过系统的rundll32程序来运行)
C:/WINDOWS/system32/rundll32.exe winoav3.dll runagent32C:/WINDOWS/system32/rundll32.exe winoauv3.dll runagent32uDLL注入 (包括但不限于以下进程,有可能有很多,请自行查看每个进程,凡文件厂商为 TEC Solutions Limited. 的DLL即是被IP-Guard注入的)
[C:/WINDOWS/system32/winlogon.exe][C:/WINDOWS/Explorer.EXE][C:/WINDOWS/system32/rundll32.exe][C:/WINDOWS/system32/ctfmon.exe]API 挂钩(Hook dll: C:/WINDOWS/system32/winhadnt.dll)
入口点:DeleteFileW入口点:FindFirstFileExW入口点:CreateFileW入口点:CopyFileExW入口点:SHFileOperationW看它有多毒……凡是创建、删除、复制、查看等与文件有关的操作全被它控制知道它干了些什么就好办了,对付它用 IceSword 或者 XueTr 这样的工具就可以了,把能删的全删,能卸载的全卸,只要看到8235端口没有被使用就说明它已经不与服务器连接了,并且在重启后如果那三个文件夹下不再生成文件就说明彻底干净了
.PS. 如果不想完全搞掉它只想不被监视,有个简单的方法:开机的时候选Ghost工具,用下面的DOS环境把rundll32.exe改个名字就可以了,当然这不是好办法,因为rundll32是个有用的系统程序
.