转载至 蜡笔小新的专栏 http://blog.csdn.net/DavidHsing/article/details/7054407
最近 被北信源桌面监控折磨的不行,网上查了才知道,这玩意儿是个公安部认可的木马软件,用于监控员工的上网行为,网管可远程控制安装了客户端的机器,包括截图或上传下载任意文件。
这玩意儿采取了 多进程守护、系统隐藏服务、底层驱动三种方式来躲避被杀,简直是流氓中的流氓。有的安装后自带卸载程序,但需要卸载密码,必须打电话给网管才能卸载。这个卸载密码是根据序列号来的,但这个序列号又不是固定的,是随机的。也就是说,只要安装过一回这个监控,想卸载就必须跟网管打一回电话。恶心至极。
跟这监控做了好几天的斗争,终于找到并整理出了完全解决方案:
清理步骤
1、从下面两个网址下载卸载程序:
绿色网傲下载地址:猛击这里
千脑网盘下载地址:猛击这里
[plain] view plain copy print
- // 解压密码都是 www.oha99.com
- // 如果有杀毒软件报告病毒,属于误报,请放心使用。
(以管理员身份)运行,点击“卸载”按钮。
2、重新启动计算机。
3、将下列内容复制保存为 bat 文件,(以管理员身份)运行:
[plain] view plain copy print
- @echo off
- echo **************************************************
- echo * 北信源内网桌面监控客户端 清理批处理
- echo * By davidhsing, on 2011-12-08
- echo * For more information, please visit:
- echo * http://blog.csdn.net/davidhsing
- echo *
- echo * 如果文件因拒绝访问而删除失败,请先执行卸载步骤并重启计算机。
- echo **************************************************
- echo *
- echo * 正在删除 北信源桌面监控 Pcap 驱动 …
- del /f /q %SystemRoot%System32driversEdpPcap.sys
- echo * 正在删除 北信源桌面监控 EDP 文件 …
- del /f /q %SystemRoot%System32Edp_FwLog.exe
- del /f /q %SystemRoot%System32Edp802XKey.exe
- del /f /q %SystemRoot%System32edpaudfliter.dll
- del /f /q %SystemRoot%System32EdpAuthBk.dat
- del /f /q %SystemRoot%System32EdpBKFile.dll
- del /f /q %SystemRoot%System32EdpCdrom.dll
- del /f /q %SystemRoot%System32edpCheckTemplete.xml
- del /f /q %SystemRoot%System32EdpCltAuth.ini
- del /f /q %SystemRoot%System32edpdisk.chm
- del /f /q %SystemRoot%System32edpDiskInfoEx.dll
- del /f /q %SystemRoot%System32EdpDNSA.dat
- del /f /q %SystemRoot%System32EdpEapSwitch.exe
- del /f /q %SystemRoot%System32EdpEDisk.dll
- del /f /q %SystemRoot%System32EdpEDisk.exe
- del /f /q %SystemRoot%System32EdpEDisk.sys
- del /f /q %SystemRoot%System32edpfind.dll
- del /f /q %SystemRoot%System32edpfunction.ini
- del /f /q %SystemRoot%System32EdpFwRul.dat
- del /f /q %SystemRoot%System32EdpFwRul.flg
- del /f /q %SystemRoot%System32EdpGetHard.exe
- del /f /q %SystemRoot%System32EdpHard.dll
- del /f /q %SystemRoot%System32edpHardware.dll
- del /f /q %SystemRoot%System32EdpHReg_C.dll
- del /f /q %SystemRoot%System32edpidm.cat
- del /f /q %SystemRoot%System32EdpIdm.inf
- del /f /q %SystemRoot%System32EdpIdm.sys
- del /f /q %SystemRoot%System32EdpIdm_m.inf
- del /f /q %SystemRoot%System32edpidm_x64.cat
- del /f /q %SystemRoot%System32EdpIdm_x64.sys
- del /f /q %SystemRoot%System32EdpIdmI.dll
- del /f /q %SystemRoot%System32EdpIdmPacket.dll
- del /f /q %SystemRoot%System32edpimlog.dll
- del /f /q %SystemRoot%System32EdpIMMonitor_c.dll
- del /f /q %SystemRoot%System32edpkillv.exe
- del /f /q %SystemRoot%System32EdpKMLock.exe
- del /f /q %SystemRoot%System32Edplibeay32.dll
- del /f /q %SystemRoot%System32edplimit.key
- del /f /q %SystemRoot%System32edpLimit3.key
- del /f /q %SystemRoot%System32EdpMenuInfo.ini
- del /f /q %SystemRoot%System32EdpMsgShow.exe
- del /f /q %SystemRoot%System32EdpNclt.exe
- del /f /q %SystemRoot%System32edpnfp.dat
- del /f /q %SystemRoot%System32edpoem.win
- del /f /q %SystemRoot%System32edpoem.win1
- del /f /q %SystemRoot%System32EdpPacket.dll
- del /f /q %SystemRoot%System32EdpPacket_2k.dll
- del /f /q %SystemRoot%System32EdpPacket_nt4.dll
- del /f /q %SystemRoot%System32EdpPacket_vista.dll
- del /f /q %SystemRoot%System32EdpPatch.crc
- del /f /q %SystemRoot%System32EdpPatchInfo.dat
- del /f /q %SystemRoot%System32EdpPcap.dll
- del /f /q %SystemRoot%System32EdpPcap.sys
- del /f /q %SystemRoot%System32EdpPcap_64.sys
- del /f /q %SystemRoot%System32EdpPcap_nt4.sys
- del /f /q %SystemRoot%System32EdpPort.dll
- del /f /q %SystemRoot%System32EdpProcess.crc
- del /f /q %SystemRoot%System32EdpProcessFlux.XSL
- del /f /q %SystemRoot%System32EdpProcFlow.dll
- del /f /q %SystemRoot%System32EdpPromptUI.dll
- del /f /q %SystemRoot%System32EdpPromptUI.exe
- del /f /q %SystemRoot%System32edppromptui2.dll
- del /f /q %SystemRoot%System32EdpProtect.ini
- del /f /q %SystemRoot%System32EdpProtectSelf.dll
- del /f /q %SystemRoot%System32EdpRegMon.dll
- del /f /q %SystemRoot%System32edpRemote.exe
- del /f /q %SystemRoot%System32EdpRf_inf.dll
- del /f /q %SystemRoot%System32EdpSafeCertify.dll
- del /f /q %SystemRoot%System32edpscopehook.dll
- del /f /q %SystemRoot%System32edpscr.dll
- del /f /q %SystemRoot%System32edpscr_c.exe
- del /f /q %SystemRoot%System32edpscr_s.exe
- del /f /q %SystemRoot%System32edpsdll1.dll
- del /f /q %SystemRoot%System32edpsdll2.dll
- del /f /q %SystemRoot%System32edpSeccheck.dll
- del /f /q %SystemRoot%System32edpsecurityburn.data
- del /f /q %SystemRoot%System32edpSecurityBurn.dll
- del /f /q %SystemRoot%System32EdpSecurityCheck.exe
- del /f /q %SystemRoot%System32edpSetup.log
- del /f /q %SystemRoot%System32EdpSetupAPI64.dll
- del /f /q %SystemRoot%System32EdpSigner.exe
- del /f /q %SystemRoot%System32edpSnap.dll
- del /f /q %SystemRoot%System32EdpSoft.dll
- del /f /q %SystemRoot%System32EdpSoftware.crc
- del /f /q %SystemRoot%System32Edpssleay32.dll
- del /f /q %SystemRoot%System32EdpTools.exe
- del /f /q %SystemRoot%System32EdpTrayIcon.exe
- del /f /q %SystemRoot%System32EdpUnPatch.exe
- del /f /q %SystemRoot%System32EdpUSB.dll
- del /f /q %SystemRoot%System32EDPUsbInterface.dll
- del /f /q %SystemRoot%System32Edpuuid.dll
- del /f /q %SystemRoot%System32EdpVerifySign.dll
- del /f /q %SystemRoot%System32EdpVirLog.dll
- del /f /q %SystemRoot%System32EdpVistaDlg.exe
- del /f /q %SystemRoot%System32EdpVistaDlg.exe.bak
- del /f /q %SystemRoot%System32EDPVSC.EXE
- del /f /q %SystemRoot%System32edpvscap.exe
- del /f /q %SystemRoot%System32EdpwPacket.dll
- del /f /q %SystemRoot%System32EdpXclt.exe
- del /f /q %SystemRoot%System32EdpXclt.rpt
- del /f /q %SystemRoot%System32edpxcltset.ini
- del /f /q %SystemRoot%System32EdpZip.dll
- echo * 正在删除 北信源桌面监控 VRV 文件 …
- del /f /q %SystemRoot%System32vrv_virusdatabase.XML
- del /f /q %SystemRoot%System32vrvarp.exe
- del /f /q %SystemRoot%System32vrvarpl.exe
- del /f /q %SystemRoot%System32vrvaud_c.dll
- del /f /q %SystemRoot%System32Vrvaud_c.sys
- del /f /q %SystemRoot%System32VRVAUD_C.VXD
- del /f /q %SystemRoot%System32Vrvaud_c64.sys
- del /f /q %SystemRoot%System32vrvaudsf.sys
- del /f /q %SystemRoot%System32vrvaudsf2k.sys
- del /f /q %SystemRoot%System32vrvaudsf64.sys
- del /f /q %SystemRoot%System32VrvBkFile.log
- del /f /q %SystemRoot%System32Vrvctl.ocx
- del /f /q %SystemRoot%System32vrvdelarp.exe
- del /f /q %SystemRoot%System32vrvedp_m.dll
- del /f /q %SystemRoot%System32VRVEDP_M.EXE
- del /f /q %SystemRoot%System32VrvEdp_m.exe.bak
- del /f /q %SystemRoot%System32vrvedp_m.exe.sig
- del /f /q %SystemRoot%System32vrvedp_m.hk
- del /f /q %SystemRoot%System32VrvEdp_m.rpt
- del /f /q %SystemRoot%System32vrvfind.dll
- del /f /q %SystemRoot%System32VRVFluxInfo.dll
- del /f /q %SystemRoot%System32VrvFw.sys
- del /f /q %SystemRoot%System32VRVFW.VXD
- del /f /q %SystemRoot%System32vrvFw_c.dll
- del /f /q %SystemRoot%System32VRVFW_D.VXD
- del /f /q %SystemRoot%System32VrvFwInstall.exe
- del /f /q %SystemRoot%System32VRVHOOK.DLL
- del /f /q %SystemRoot%System32Vrvhw_c.dll
- del /f /q %SystemRoot%System32VrvKeyBoard.dll
- del /f /q %SystemRoot%System32vrvkeymon.dll
- del /f /q %SystemRoot%System32VrvKS_c.dll
- del /f /q %SystemRoot%System32VRVPerTemplate.exe
- del /f /q %SystemRoot%System32vrvpolicy.xml
- del /f /q %SystemRoot%System32vrvprt_c.dll
- del /f /q %SystemRoot%System32vrvprt_c1.dll
- del /f /q %SystemRoot%System32vrvpwk.dll
- del /f /q %SystemRoot%System32vrvpz.ini
- del /f /q %SystemRoot%System32vrvrf_c.exe
- del /f /q %SystemRoot%System32vrvrf_c.lg
- del /f /q %SystemRoot%System32vrvrf_cInterface.dll
- del /f /q %SystemRoot%System32vrvrf_d.lg
- del /f /q %SystemRoot%System32VRVRF_IE.EXE
- del /f /q %SystemRoot%System32vrvrf_m.lg
- del /f /q %SystemRoot%System32vrvrun_c.dll
- del /f /q %SystemRoot%System32Vrvsafec.exe
- del /f /q %SystemRoot%System32vrvsc_c.dll
- del /f /q %SystemRoot%System32vrvsdll1.dll
- del /f /q %SystemRoot%System32vrvsdll2.dll
- del /f /q %SystemRoot%System32VrvSetup.ini
- del /f /q %SystemRoot%System32VrvSnap.dll
- del /f /q %SystemRoot%System32VrvSniffer.exe
- del /f /q %SystemRoot%System32VRVSOFTDB.xml
- del /f /q %SystemRoot%System32vrvsys_c.xml
- del /f /q %SystemRoot%System32VRVTrustVerify.dll
- del /f /q %SystemRoot%System32VrvZip.dll
- echo * 正在删除 北信源桌面监控 安装/卸载 文件 …
- del /f /q %SystemRoot%System32InstallIdm.exe
- del /f /q %SystemRoot%System32InstallIdm_x64.exe
- del /f /q %SystemRoot%System32UnInstallEdp.*
- del /f /q %SystemRoot%System32WatchClient.*
- del /f /q %SystemRoot%System32VirusSTDB.xml
- echo * 正在删除 北信源桌面监控 残留目录 …
- rd /s /q %SystemRoot%System32AntiToolPack
- rd /s /q %SystemRoot%System32Language
- rd /s /q %SystemRoot%System32Pic
- rd /s /q %SystemRoot%System32SysMenu
- rd /s /q %SystemRoot%System32SysUtility
- echo 正在删除 北信源桌面监控 日志文件 …
- del /f /q %SystemRoot%..edpmain.log
- del /f /q %SystemRoot%..regist.log
- del /f /q %SystemRoot%..vrvdata.dat
- echo *
- echo * 已删除 北信源内网桌面监控客户端 所有文件。按任意键退出!
- echo **************************************************
- pause
- @echo on
- exit
至此清理完成!
来源:qwasfengyer
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!