1.声明
本文章只提供文字描述,也仅限于学习交流使用,请勿用于非法用途!!!
最近公司在电脑上安装了Ip-Guard内网管理软件,导致电脑卡顿严重(时时刻刻在扫描着硬盘,本来就卡的电脑更卡了),于是想办法把它禁用掉
首先来分析一下: 这个软件会在C:\Program Files (x86)\Common Files\System释放主程序,在C:\Windows\System32\drivers释放若干个驱动程序,C:\Windows\System32\释放若干个DLL,会在注册表添加启动项,会添加一个名为Windows Helper Service的服务,实为Ip-Guard的启动服务,启动进程为winrdgv3.exe和OnacAgent.exe,在Windows7自带的任务管理器无法显示。
2.操作过程
- 1.360安全卫士优化加速能扫出来Ip-Guard的启动项,禁用后重启发现Ip-Guard正常运行,无果
- 2.使用PChunter结束进程,这个软件每次会运行若干个winrdgv3.exe进程,必须同时结束,一个一个结束他会复活,无果
- 3.禁用Windows Helper Service服务,使用Windows服务管理和PChunter同时对服务进行禁用操作,保存后会恢复成自动,无果
- 4.使用PChunter结束所有进程后,对C:\Program Files (x86)\Common Files\System这个目录进行更名(直接删除也可以),重启后未发现winrdgcv3.exe进程,停止Windows Helper Service服务未反弹,成功一半
5.禁用服务后使用PChunter内核中系统回调和过滤驱动删除厂商为TEC开头的驱动
驱动模块里面TEC的驱动删除后出现蓝屏,不确定原因
3.如何判断是否真正禁用了Ip-Guard
360网络防火墙未发现winrdgcv3.exe进程联网,也没有8235/8237端口的连接,PChunter未出现winrdgcv3.exe进程
4.如何判断进程/驱动为Ip-Guard关联文件
查看进程/驱动的数字签名和文件厂商,若为LEC开头则是Ip-Guard关联文件
