如知乎所言,“uniaccess agent是联软(leagsoft)公司开发的一款惨绝人寰、灭绝人性的监控软件,为避免程序被卸载,联软公司几经改进,安装位置转移到Windows目录且隐藏,所有运行进程隐藏,window自带的taskkill,根本无法杀死进程。”。近日单位也安装了一款网控管理软件,虽然名称经过定制,但查看系统服务进程,正是这款软件。
切换到win10的各种启动方式,均无法跳过此软件的加载(也许有某种方式可以跳过而自己不知道吧)。到底能否卸除呢?许多网上方案里通过使用360进程管理器和360粉碎机之类的强杀进程和删除文件。但这种做法无异于引虎驱狼啊。还是自己来试一下再说。
查看服务里Uni起头的几个进程的磁盘文件位置,都在C:\Windows\LVUAAgentInstBaseRoot下,但在Explorer里看不到此文件夹,如果在地址栏粘贴位置直接打开,里面也不显示任何文件。然而,在CMD窗口里进入文件夹,用dir命令是可以看到大量文件的。这个现象,证明了该软件修改了系统的一些功能以保护自己。
C:\Windows>cd LVUA* C:\Windows\LVUAAgentInstBaseRoot>dir 驱动器 C 中的卷没有标签。 卷的序列号是 36DD-0206 C:\Windows\LVUAAgentInstBaseRoot 的目录 2022/03/22 16:35 <DIR> . 2022/03/22 16:35 <DIR> .. 2022/03/22 16:35 <DIR> -URL 2022/03/22 16:35 <DIR> 32 2020/04/09 12:40 192 360.zip 2020/04/09 12:41 1,141,248 7z.dll 2020/04/09 12:41 292,864 7z.exe 2020/04/27 16:13 64,488 ABCD.exe 2020/04/09 12:47 1,134,232 AcutaDBLite64.dll 2020/07/06 22:36 2,952,168 AgentUninstall.exe 2020/04/09 12:40 4,773,687 Alibaba-PuHuiTi.7z 2020/04/09 12:45 21,032 api-ms-win-core-console-l1-1-0.dll 2020/04/09 12:45 21,024 api-ms-win-core-console-l1-2-0.dll 2020/04/09 12:45 20,512 api-ms-win-core-datetime-l1-1-0.dll 2020/04/09 12:45 20,544 api-ms-win-core-debug-l1-1-0.dll 2020/04/09 12:45 20,520 api-ms-win-core-errorhandling-l1-1-0.dll 2020/04/09 12:45 24,104 api-ms-win-core-file-l1-1-0.dll
既然在win10的进程管理器里无法杀掉或停止服务。那么尝试用taskkill来杀掉进程。用管理员模式启动CMD窗口,taskkill加上/F选项之后,确实可以杀掉进程。然而不久就会自动重新启动,猜测是否几个进程互相关联。那么把几个Uni起头的进程同时杀掉会否有效呢?试一下:
C:\Windows\system32>taskkill /F /FI "IMAGENAME eq Uni*" 成功: 已终止 PID 为 11152 的进程。 成功: 已终止 PID 为 10548 的进程。 成功: 已终止 PID 为 6192 的进程。 C:\Windows\system32>tasklist /FI "IMAGENAME eq Uni*" 信息: 没有运行的任务匹配指定标准。
用taskkill几乎同时杀掉3个进程后,进程没有重启!这是很重要的第一步。下一步就是尝试移走或者删除文件,以破坏系统启动时该软件的加载。
尝试先把文件夹改名试试。改名失败,提示有文件在使用中。先检查一下有多少可执行文件:
C:\Windows\LVUAAgentInstBaseRoot>dir *.exe 驱动器 C 中的卷没有标签。 卷的序列号是 36DD-0206 C:\Windows\LVUAAgentInstBaseRoot 的目录 2020/04/09 12:41 292,864 7z.exe 2020/04/27 16:13 64,488 ABCD.exe 2020/07/06 22:36 2,952,168 AgentUninstall.exe 2020/07/06 22:37 45,032 ArcAdapter30to31.exe 2020/07/14 13:07 91,624 Arthas.exe 2020/07/06 22:41 40,936 AsMyWish.exe 2020/07/14 13:06 67,560 AugustIsNotEnd.exe 2020/07/06 22:41 625,640 AutoGetAVInfo.exe 2020/07/23 10:36 130,024 BachEditor.exe 2020/04/27 16:23 32,744 BadamConsole.exe 2020/07/16 19:49 1,074,152 BeeClient.exe 2020/07/16 19:49 1,346,024 BeeRepeater.exe 2020/04/27 16:25 180,712 Behindthisact.exe 2020/04/09 12:45 114,544 bootsect.exe 2020/07/16 19:49 1,828,840 Braise.exe 2020/07/16 19:46 1,811,968 BraiseUI.exe 2020/04/09 12:43 121,712 cad.exe 2020/07/21 10:59 1,836,520 ClairDeLune.exe 2020/07/16 19:49 657,896 CMBCSensitiveFile.exe 2020/04/26 13:46 314,344 CrescentMoon.exe
发现可执行文件太多,以上只列出少部份文件,甚至还有bootsect.exe这样的程序。用explorer.exe查看此目录,还是空的。可能有些dll被注入到了explorer.exe里面了。那么先把这个目录备个份再搞吧,以便上面检查时可以恢复。
用winrar,直接粘贴目录进去。结果发现,这些在explorer里看不到的目录和文件,对winrar来说都是显示的。在上一层选中这个目录压缩打包,成功了。
在软件目录下建个tmp20220323的子目录:
C:\Windows\LVUAAgentInstBaseRoot>mkdir tmp20220323 C:\Windows\LVUAAgentInstBaseRoot>move *.exe tmp20220323
居然全部移动成功了。看来exe没有正在运行的了。
下面就看各dll了。move过去所有dll,结果都成功了。当然有可能这些dll真的没有加载,也有可能是“假”移动,跟当年的3721一样。
剩下这些目录怎么移进去呢?移了一个目录试试,是可以移的,只是不能用通配符一次全移。那么打开自己机器上现有的git bash里用脚本生成一下批命令:
$ ls -1 | grep -v tmp2022* | tr -d "\/" |awk '{print "move "$1" tmp20220323"}' move 32 tmp20220323 move Catamount tmp20220323 move Lv5PrinterData tmp20220323 move SysWow64 tmp20220323 move UniAV tmp20220323 move arc_file tmp20220323 move audit tmp20220323 move dict tmp20220323 move doc_safe tmp20220323 move dot3svc tmp20220323 move drivers tmp20220323 move face tmp20220323 move font tmp20220323 move lan tmp20220323 move log tmp20220323 move lv_msi_super_tools tmp20220323 move misc tmp20220323 move nss tmp20220323 move personal tmp20220323 move policy tmp20220323 move public tmp20220323 move system32 tmp20220323 move vul_file tmp20220323
粘贴到CMD窗口里执行,都成功了。剩下个减号起头的文件夹单独移一下:
C:\Windows\LVUAAgentInstBaseRoot>move "-URL" tmp20220323 移动了 1 个目录。
还有个face目录移动不了,提示有文件正在使用。看来加载的东西就在这个目录里。然而查看文件夹的内容,大多是些图片:
C:\Windows\LVUAAgentInstBaseRoot\face>dir 驱动器 C 中的卷没有标签。 卷的序列号是 36DD-0206 C:\Windows\LVUAAgentInstBaseRoot\face 的目录 2022/03/22 16:35 <DIR> . 2022/03/22 16:35 <DIR> .. 2020/04/09 12:45 1,379 btnCommon.png 2020/04/09 12:45 1,446 btnHOver.png 2020/04/09 12:45 1,430 btnHOver1.png 2020/04/09 12:44 1,417 close_hot.png 2020/04/09 12:44 1,471 close_normal.png 2020/04/09 12:44 7,836 cus_hot.png
所以就不管它吧。现在重启一下系统看看。
重启后,没有再加载这个uniaccess agent的窗口。手机连接电脑,电脑可以访问手机上的文件了。电脑插USB口无线网卡,可以访问无线网络了。可以证明uniaccess agent “卸载”成功了。
原创文章,作者:苏葳,如需转载,请注明出处:https://www.swmemo.com/2249.html