又来了一个IP-Guard

今天发现电脑被安装了IP-Guard, 如果是公司安装的话, 那就算了, 监控就监控吧. 但是我就怕是被别人安装的, 因为之前我发现我的电脑被一个叫张3石的小人动过(一个同事).

(我的电脑放在办公桌上, 某天我请假了, 大概该垃圾用什么启动盘之类进入我的电脑吧, 删了我的一些东西, 有没有拷走我的东西就不知道了)(你就怕遇上这样的人, 这种人很可怕, 口蜜腹剑, 笑里藏刀, 绵里藏针, 平时对着你有说有笑, 擦, 背后却...).

IP-Guard比中软防水墙更牛. 要删除和删除中软的防水墙一样道理吧.

看这里(http://blog.csdn.net/bagboy_taobao_com/article/details/8959574)

XP上的删除都简单, 用IceSword 或者 XueTr.

下面是转自 http://www.cnblogs.com/ylawrence3/archive/2009/03/12/1410005.html

首先是生成的文件.
C:\Program Files\Common Files\System
C:\WINDOWS\system32\drivers
C:\WINDOWS\system32
三个文件夹下所有“公司”为“TEC Solutions Limited.”的文件，约有20多个
============================================


注册表启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
     <{A16CA976-4B8D-47FC-A9F4-651C17B636EF}><C:\WINDOWS\system32\msowcnv3.dll>
============================================


添加的服务
[Windows Helper Service / Winhlpsvr]
   <C:\Program Files\Common Files\System\winrdgv3.exe>
============================================


加载的驱动文件
[TFsfltdrv / TFsfltdrv]
   <C:\WINDOWS\system32\drivers\tfsfltdrv.sys>
[TPacket Driver / TPacket]
   <C:\WINDOWS\System32\Drivers\tpacket.sys>
[TSysDrv / TSysDrv]
   <C:\WINDOWS\system32\drivers\TSysDrv.sys>
============================================


可以在进程管理中直接看到的两个进程（通过系统的rundll32程序来运行）
C:\WINDOWS\system32\rundll32.exe winoav3.dll runagent32
C:\WINDOWS\system32\rundll32.exe winoauv3.dll runagent32u
============================================


DLL注入 (包括但不限于以下进程，有可能有很多，请自行查看每个进程，凡文件厂商为 TEC Solutions Limited. 的DLL即是被IP-Guard注入的)
[C:\WINDOWS\system32\winlogon.exe]
[C:\WINDOWS\Explorer.EXE]
[C:\WINDOWS\system32\rundll32.exe]
[C:\WINDOWS\system32\ctfmon.exe]
============================================


API 挂钩（Hook dll: C:\WINDOWS\system32\winhadnt.dll）
入口点：DeleteFileW
入口点：FindFirstFileExW
入口点：CreateFileW
入口点：CopyFileExW
入口点：SHFileOperationW
======================================================