卸载北信源内网桌面监控的完全攻略

转载至 蜡笔小新的专栏 http://blog.csdn.net/DavidHsing/article/details/7054407

最近 被北信源桌面监控折磨的不行，网上查了才知道，这玩意儿是个公安部认可的木马软件，用于监控员工的上网行为，网管可远程控制安装了客户端的机器，包括截图或上传下载任意文件。

这玩意儿采取了 多进程守护、系统隐藏服务、底层驱动三种方式来躲避被杀，简直是流氓中的流氓。有的安装后自带卸载程序，但需要卸载密码，必须打电话给网管才能卸载。这个卸载密码是根据序列号来的，但这个序列号又不是固定的，是随机的。也就是说，只要安装过一回这个监控，想卸载就必须跟网管打一回电话。恶心至极。

跟这监控做了好几天的斗争，终于找到并整理出了完全解决方案：

清理步骤

1、从下面两个网址下载卸载程序：

绿色网傲下载地址：猛击这里

千脑网盘下载地址：猛击这里

[plain] view plain copy print

1. // 解压密码都是 www.oha99.com  
2. // 如果有杀毒软件报告病毒，属于误报，请放心使用。  

（以管理员身份）运行，点击“卸载”按钮。

2、重新启动计算机。

3、将下列内容复制保存为 bat 文件，（以管理员身份）运行：

[plain] view plain copy print

1. @echo off  
2. echo **************************************************  
3. echo * 北信源内网桌面监控客户端 清理批处理  
4. echo * By davidhsing, on 2011-12-08  
5. echo * For more information, please visit:  
6. echo * http://blog.csdn.net/davidhsing  
7. echo *  
8. echo * 如果文件因拒绝访问而删除失败，请先执行卸载步骤并重启计算机。  
9. echo **************************************************  
10. echo *  
11. echo * 正在删除 北信源桌面监控 Pcap 驱动 …  
12. del /f /q %SystemRoot%System32driversEdpPcap.sys  
13. echo * 正在删除 北信源桌面监控 EDP 文件 …  
14. del /f /q %SystemRoot%System32Edp_FwLog.exe  
15. del /f /q %SystemRoot%System32Edp802XKey.exe  
16. del /f /q %SystemRoot%System32edpaudfliter.dll  
17. del /f /q %SystemRoot%System32EdpAuthBk.dat  
18. del /f /q %SystemRoot%System32EdpBKFile.dll  
19. del /f /q %SystemRoot%System32EdpCdrom.dll  
20. del /f /q %SystemRoot%System32edpCheckTemplete.xml  
21. del /f /q %SystemRoot%System32EdpCltAuth.ini  
22. del /f /q %SystemRoot%System32edpdisk.chm  
23. del /f /q %SystemRoot%System32edpDiskInfoEx.dll  
24. del /f /q %SystemRoot%System32EdpDNSA.dat  
25. del /f /q %SystemRoot%System32EdpEapSwitch.exe  
26. del /f /q %SystemRoot%System32EdpEDisk.dll  
27. del /f /q %SystemRoot%System32EdpEDisk.exe  
28. del /f /q %SystemRoot%System32EdpEDisk.sys  
29. del /f /q %SystemRoot%System32edpfind.dll  
30. del /f /q %SystemRoot%System32edpfunction.ini  
31. del /f /q %SystemRoot%System32EdpFwRul.dat  
32. del /f /q %SystemRoot%System32EdpFwRul.flg  
33. del /f /q %SystemRoot%System32EdpGetHard.exe  
34. del /f /q %SystemRoot%System32EdpHard.dll  
35. del /f /q %SystemRoot%System32edpHardware.dll  
36. del /f /q %SystemRoot%System32EdpHReg_C.dll  
37. del /f /q %SystemRoot%System32edpidm.cat  
38. del /f /q %SystemRoot%System32EdpIdm.inf  
39. del /f /q %SystemRoot%System32EdpIdm.sys  
40. del /f /q %SystemRoot%System32EdpIdm_m.inf  
41. del /f /q %SystemRoot%System32edpidm_x64.cat  
42. del /f /q %SystemRoot%System32EdpIdm_x64.sys  
43. del /f /q %SystemRoot%System32EdpIdmI.dll  
44. del /f /q %SystemRoot%System32EdpIdmPacket.dll  
45. del /f /q %SystemRoot%System32edpimlog.dll  
46. del /f /q %SystemRoot%System32EdpIMMonitor_c.dll  
47. del /f /q %SystemRoot%System32edpkillv.exe  
48. del /f /q %SystemRoot%System32EdpKMLock.exe  
49. del /f /q %SystemRoot%System32Edplibeay32.dll  
50. del /f /q %SystemRoot%System32edplimit.key  
51. del /f /q %SystemRoot%System32edpLimit3.key  
52. del /f /q %SystemRoot%System32EdpMenuInfo.ini  
53. del /f /q %SystemRoot%System32EdpMsgShow.exe  
54. del /f /q %SystemRoot%System32EdpNclt.exe  
55. del /f /q %SystemRoot%System32edpnfp.dat  
56. del /f /q %SystemRoot%System32edpoem.win  
57. del /f /q %SystemRoot%System32edpoem.win1  
58. del /f /q %SystemRoot%System32EdpPacket.dll  
59. del /f /q %SystemRoot%System32EdpPacket_2k.dll  
60. del /f /q %SystemRoot%System32EdpPacket_nt4.dll  
61. del /f /q %SystemRoot%System32EdpPacket_vista.dll  
62. del /f /q %SystemRoot%System32EdpPatch.crc  
63. del /f /q %SystemRoot%System32EdpPatchInfo.dat  
64. del /f /q %SystemRoot%System32EdpPcap.dll  
65. del /f /q %SystemRoot%System32EdpPcap.sys  
66. del /f /q %SystemRoot%System32EdpPcap_64.sys  
67. del /f /q %SystemRoot%System32EdpPcap_nt4.sys  
68. del /f /q %SystemRoot%System32EdpPort.dll  
69. del /f /q %SystemRoot%System32EdpProcess.crc  
70. del /f /q %SystemRoot%System32EdpProcessFlux.XSL  
71. del /f /q %SystemRoot%System32EdpProcFlow.dll  
72. del /f /q %SystemRoot%System32EdpPromptUI.dll  
73. del /f /q %SystemRoot%System32EdpPromptUI.exe  
74. del /f /q %SystemRoot%System32edppromptui2.dll  
75. del /f /q %SystemRoot%System32EdpProtect.ini  
76. del /f /q %SystemRoot%System32EdpProtectSelf.dll  
77. del /f /q %SystemRoot%System32EdpRegMon.dll  
78. del /f /q %SystemRoot%System32edpRemote.exe  
79. del /f /q %SystemRoot%System32EdpRf_inf.dll  
80. del /f /q %SystemRoot%System32EdpSafeCertify.dll  
81. del /f /q %SystemRoot%System32edpscopehook.dll  
82. del /f /q %SystemRoot%System32edpscr.dll  
83. del /f /q %SystemRoot%System32edpscr_c.exe  
84. del /f /q %SystemRoot%System32edpscr_s.exe  
85. del /f /q %SystemRoot%System32edpsdll1.dll  
86. del /f /q %SystemRoot%System32edpsdll2.dll  
87. del /f /q %SystemRoot%System32edpSeccheck.dll  
88. del /f /q %SystemRoot%System32edpsecurityburn.data  
89. del /f /q %SystemRoot%System32edpSecurityBurn.dll  
90. del /f /q %SystemRoot%System32EdpSecurityCheck.exe  
91. del /f /q %SystemRoot%System32edpSetup.log  
92. del /f /q %SystemRoot%System32EdpSetupAPI64.dll  
93. del /f /q %SystemRoot%System32EdpSigner.exe  
94. del /f /q %SystemRoot%System32edpSnap.dll  
95. del /f /q %SystemRoot%System32EdpSoft.dll  
96. del /f /q %SystemRoot%System32EdpSoftware.crc  
97. del /f /q %SystemRoot%System32Edpssleay32.dll  
98. del /f /q %SystemRoot%System32EdpTools.exe  
99. del /f /q %SystemRoot%System32EdpTrayIcon.exe  
100. del /f /q %SystemRoot%System32EdpUnPatch.exe  
101. del /f /q %SystemRoot%System32EdpUSB.dll  
102. del /f /q %SystemRoot%System32EDPUsbInterface.dll  
103. del /f /q %SystemRoot%System32Edpuuid.dll  
104. del /f /q %SystemRoot%System32EdpVerifySign.dll  
105. del /f /q %SystemRoot%System32EdpVirLog.dll  
106. del /f /q %SystemRoot%System32EdpVistaDlg.exe  
107. del /f /q %SystemRoot%System32EdpVistaDlg.exe.bak  
108. del /f /q %SystemRoot%System32EDPVSC.EXE  
109. del /f /q %SystemRoot%System32edpvscap.exe  
110. del /f /q %SystemRoot%System32EdpwPacket.dll  
111. del /f /q %SystemRoot%System32EdpXclt.exe  
112. del /f /q %SystemRoot%System32EdpXclt.rpt  
113. del /f /q %SystemRoot%System32edpxcltset.ini  
114. del /f /q %SystemRoot%System32EdpZip.dll  
115. echo * 正在删除 北信源桌面监控 VRV 文件 …  
116. del /f /q %SystemRoot%System32vrv_virusdatabase.XML  
117. del /f /q %SystemRoot%System32vrvarp.exe  
118. del /f /q %SystemRoot%System32vrvarpl.exe  
119. del /f /q %SystemRoot%System32vrvaud_c.dll  
120. del /f /q %SystemRoot%System32Vrvaud_c.sys  
121. del /f /q %SystemRoot%System32VRVAUD_C.VXD  
122. del /f /q %SystemRoot%System32Vrvaud_c64.sys  
123. del /f /q %SystemRoot%System32vrvaudsf.sys  
124. del /f /q %SystemRoot%System32vrvaudsf2k.sys  
125. del /f /q %SystemRoot%System32vrvaudsf64.sys  
126. del /f /q %SystemRoot%System32VrvBkFile.log  
127. del /f /q %SystemRoot%System32Vrvctl.ocx  
128. del /f /q %SystemRoot%System32vrvdelarp.exe  
129. del /f /q %SystemRoot%System32vrvedp_m.dll  
130. del /f /q %SystemRoot%System32VRVEDP_M.EXE  
131. del /f /q %SystemRoot%System32VrvEdp_m.exe.bak  
132. del /f /q %SystemRoot%System32vrvedp_m.exe.sig  
133. del /f /q %SystemRoot%System32vrvedp_m.hk  
134. del /f /q %SystemRoot%System32VrvEdp_m.rpt  
135. del /f /q %SystemRoot%System32vrvfind.dll  
136. del /f /q %SystemRoot%System32VRVFluxInfo.dll  
137. del /f /q %SystemRoot%System32VrvFw.sys  
138. del /f /q %SystemRoot%System32VRVFW.VXD  
139. del /f /q %SystemRoot%System32vrvFw_c.dll  
140. del /f /q %SystemRoot%System32VRVFW_D.VXD  
141. del /f /q %SystemRoot%System32VrvFwInstall.exe  
142. del /f /q %SystemRoot%System32VRVHOOK.DLL  
143. del /f /q %SystemRoot%System32Vrvhw_c.dll  
144. del /f /q %SystemRoot%System32VrvKeyBoard.dll  
145. del /f /q %SystemRoot%System32vrvkeymon.dll  
146. del /f /q %SystemRoot%System32VrvKS_c.dll  
147. del /f /q %SystemRoot%System32VRVPerTemplate.exe  
148. del /f /q %SystemRoot%System32vrvpolicy.xml  
149. del /f /q %SystemRoot%System32vrvprt_c.dll  
150. del /f /q %SystemRoot%System32vrvprt_c1.dll  
151. del /f /q %SystemRoot%System32vrvpwk.dll  
152. del /f /q %SystemRoot%System32vrvpz.ini  
153. del /f /q %SystemRoot%System32vrvrf_c.exe  
154. del /f /q %SystemRoot%System32vrvrf_c.lg  
155. del /f /q %SystemRoot%System32vrvrf_cInterface.dll  
156. del /f /q %SystemRoot%System32vrvrf_d.lg  
157. del /f /q %SystemRoot%System32VRVRF_IE.EXE  
158. del /f /q %SystemRoot%System32vrvrf_m.lg  
159. del /f /q %SystemRoot%System32vrvrun_c.dll  
160. del /f /q %SystemRoot%System32Vrvsafec.exe  
161. del /f /q %SystemRoot%System32vrvsc_c.dll  
162. del /f /q %SystemRoot%System32vrvsdll1.dll  
163. del /f /q %SystemRoot%System32vrvsdll2.dll  
164. del /f /q %SystemRoot%System32VrvSetup.ini  
165. del /f /q %SystemRoot%System32VrvSnap.dll  
166. del /f /q %SystemRoot%System32VrvSniffer.exe  
167. del /f /q %SystemRoot%System32VRVSOFTDB.xml  
168. del /f /q %SystemRoot%System32vrvsys_c.xml  
169. del /f /q %SystemRoot%System32VRVTrustVerify.dll  
170. del /f /q %SystemRoot%System32VrvZip.dll  
171. echo * 正在删除 北信源桌面监控 安装/卸载 文件 …  
172. del /f /q %SystemRoot%System32InstallIdm.exe  
173. del /f /q %SystemRoot%System32InstallIdm_x64.exe  
174. del /f /q %SystemRoot%System32UnInstallEdp.*  
175. del /f /q %SystemRoot%System32WatchClient.*  
176. del /f /q %SystemRoot%System32VirusSTDB.xml  
177. echo * 正在删除 北信源桌面监控 残留目录 …  
178. rd /s /q %SystemRoot%System32AntiToolPack  
179. rd /s /q %SystemRoot%System32Language  
180. rd /s /q %SystemRoot%System32Pic  
181. rd /s /q %SystemRoot%System32SysMenu  
182. rd /s /q %SystemRoot%System32SysUtility  
183. echo 正在删除 北信源桌面监控 日志文件 …  
184. del /f /q %SystemRoot%..edpmain.log  
185. del /f /q %SystemRoot%..regist.log  
186. del /f /q %SystemRoot%..vrvdata.dat  
187. echo *  
188. echo * 已删除 北信源内网桌面监控客户端 所有文件。按任意键退出！  
189. echo **************************************************  
190. pause  
191. @echo on  
192. exit  

至此清理完成！

来源：qwasfengyer