1. 苏葳的备忘录首页
  2. 操作系统

某种网络控制客户端的卸载

windows 登录 用户

如知乎所言,“uniaccess agent是联软(leagsoft)公司开发的一款惨绝人寰、灭绝人性的监控软件,为避免程序被卸载,联软公司几经改进,安装位置转移到Windows目录且隐藏,所有运行进程隐藏,window自带的taskkill,根本无法杀死进程。”。近日单位也安装了一款网控管理软件,虽然名称经过定制,但查看系统服务进程,正是这款软件。

切换到win10的各种启动方式,均无法跳过此软件的加载(也许有某种方式可以跳过而自己不知道吧)。到底能否卸除呢?许多网上方案里通过使用360进程管理器和360粉碎机之类的强杀进程和删除文件。但这种做法无异于引虎驱狼啊。还是自己来试一下再说。

查看服务里Uni起头的几个进程的磁盘文件位置,都在C:\Windows\LVUAAgentInstBaseRoot下,但在Explorer里看不到此文件夹,如果在地址栏粘贴位置直接打开,里面也不显示任何文件。然而,在CMD窗口里进入文件夹,用dir命令是可以看到大量文件的。这个现象,证明了该软件修改了系统的一些功能以保护自己。

C:\Windows>cd LVUA*

C:\Windows\LVUAAgentInstBaseRoot>dir
 驱动器 C 中的卷没有标签。
 卷的序列号是 36DD-0206

 C:\Windows\LVUAAgentInstBaseRoot 的目录

2022/03/22  16:35    <DIR>          .
2022/03/22  16:35    <DIR>          ..
2022/03/22  16:35    <DIR>          -URL
2022/03/22  16:35    <DIR>          32
2020/04/09  12:40               192 360.zip
2020/04/09  12:41         1,141,248 7z.dll
2020/04/09  12:41           292,864 7z.exe
2020/04/27  16:13            64,488 ABCD.exe
2020/04/09  12:47         1,134,232 AcutaDBLite64.dll
2020/07/06  22:36         2,952,168 AgentUninstall.exe
2020/04/09  12:40         4,773,687 Alibaba-PuHuiTi.7z
2020/04/09  12:45            21,032 api-ms-win-core-console-l1-1-0.dll
2020/04/09  12:45            21,024 api-ms-win-core-console-l1-2-0.dll
2020/04/09  12:45            20,512 api-ms-win-core-datetime-l1-1-0.dll
2020/04/09  12:45            20,544 api-ms-win-core-debug-l1-1-0.dll
2020/04/09  12:45            20,520 api-ms-win-core-errorhandling-l1-1-0.dll
2020/04/09  12:45            24,104 api-ms-win-core-file-l1-1-0.dll

既然在win10的进程管理器里无法杀掉或停止服务。那么尝试用taskkill来杀掉进程。用管理员模式启动CMD窗口,taskkill加上/F选项之后,确实可以杀掉进程。然而不久就会自动重新启动,猜测是否几个进程互相关联。那么把几个Uni起头的进程同时杀掉会否有效呢?试一下:

C:\Windows\system32>taskkill /F /FI "IMAGENAME eq Uni*"
成功: 已终止 PID 为 11152 的进程。
成功: 已终止 PID 为 10548 的进程。
成功: 已终止 PID 为 6192 的进程。

C:\Windows\system32>tasklist /FI "IMAGENAME eq Uni*"
信息: 没有运行的任务匹配指定标准。

用taskkill几乎同时杀掉3个进程后,进程没有重启!这是很重要的第一步。下一步就是尝试移走或者删除文件,以破坏系统启动时该软件的加载。

尝试先把文件夹改名试试。改名失败,提示有文件在使用中。先检查一下有多少可执行文件:

C:\Windows\LVUAAgentInstBaseRoot>dir *.exe
 驱动器 C 中的卷没有标签。
 卷的序列号是 36DD-0206

 C:\Windows\LVUAAgentInstBaseRoot 的目录

2020/04/09  12:41           292,864 7z.exe
2020/04/27  16:13            64,488 ABCD.exe
2020/07/06  22:36         2,952,168 AgentUninstall.exe
2020/07/06  22:37            45,032 ArcAdapter30to31.exe
2020/07/14  13:07            91,624 Arthas.exe
2020/07/06  22:41            40,936 AsMyWish.exe
2020/07/14  13:06            67,560 AugustIsNotEnd.exe
2020/07/06  22:41           625,640 AutoGetAVInfo.exe
2020/07/23  10:36           130,024 BachEditor.exe
2020/04/27  16:23            32,744 BadamConsole.exe
2020/07/16  19:49         1,074,152 BeeClient.exe
2020/07/16  19:49         1,346,024 BeeRepeater.exe
2020/04/27  16:25           180,712 Behindthisact.exe
2020/04/09  12:45           114,544 bootsect.exe
2020/07/16  19:49         1,828,840 Braise.exe
2020/07/16  19:46         1,811,968 BraiseUI.exe
2020/04/09  12:43           121,712 cad.exe
2020/07/21  10:59         1,836,520 ClairDeLune.exe
2020/07/16  19:49           657,896 CMBCSensitiveFile.exe
2020/04/26  13:46           314,344 CrescentMoon.exe

发现可执行文件太多,以上只列出少部份文件,甚至还有bootsect.exe这样的程序。用explorer.exe查看此目录,还是空的。可能有些dll被注入到了explorer.exe里面了。那么先把这个目录备个份再搞吧,以便上面检查时可以恢复。

用winrar,直接粘贴目录进去。结果发现,这些在explorer里看不到的目录和文件,对winrar来说都是显示的。在上一层选中这个目录压缩打包,成功了。

在软件目录下建个tmp20220323的子目录:

C:\Windows\LVUAAgentInstBaseRoot>mkdir tmp20220323

C:\Windows\LVUAAgentInstBaseRoot>move *.exe tmp20220323

居然全部移动成功了。看来exe没有正在运行的了。

下面就看各dll了。move过去所有dll,结果都成功了。当然有可能这些dll真的没有加载,也有可能是“假”移动,跟当年的3721一样。

剩下这些目录怎么移进去呢?移了一个目录试试,是可以移的,只是不能用通配符一次全移。那么打开自己机器上现有的git bash里用脚本生成一下批命令:

$ ls -1 | grep -v tmp2022* | tr -d "\/" |awk '{print "move "$1" tmp20220323"}'

move 32 tmp20220323
move Catamount tmp20220323
move Lv5PrinterData tmp20220323
move SysWow64 tmp20220323
move UniAV tmp20220323
move arc_file tmp20220323
move audit tmp20220323
move dict tmp20220323
move doc_safe tmp20220323
move dot3svc tmp20220323
move drivers tmp20220323
move face tmp20220323
move font tmp20220323
move lan tmp20220323
move log tmp20220323
move lv_msi_super_tools tmp20220323
move misc tmp20220323
move nss tmp20220323
move personal tmp20220323
move policy tmp20220323
move public tmp20220323
move system32 tmp20220323
move vul_file tmp20220323

粘贴到CMD窗口里执行,都成功了。剩下个减号起头的文件夹单独移一下:

C:\Windows\LVUAAgentInstBaseRoot>move "-URL" tmp20220323
移动了         1 个目录。

还有个face目录移动不了,提示有文件正在使用。看来加载的东西就在这个目录里。然而查看文件夹的内容,大多是些图片:

C:\Windows\LVUAAgentInstBaseRoot\face>dir
 驱动器 C 中的卷没有标签。
 卷的序列号是 36DD-0206

 C:\Windows\LVUAAgentInstBaseRoot\face 的目录

2022/03/22  16:35    <DIR>          .
2022/03/22  16:35    <DIR>          ..
2020/04/09  12:45             1,379 btnCommon.png
2020/04/09  12:45             1,446 btnHOver.png
2020/04/09  12:45             1,430 btnHOver1.png
2020/04/09  12:44             1,417 close_hot.png
2020/04/09  12:44             1,471 close_normal.png
2020/04/09  12:44             7,836 cus_hot.png

所以就不管它吧。现在重启一下系统看看。

重启后,没有再加载这个uniaccess agent的窗口。手机连接电脑,电脑可以访问手机上的文件了。电脑插USB口无线网卡,可以访问无线网络了。可以证明uniaccess agent “卸载”成功了。

原创文章,作者:苏葳,如需转载,请注明出处:https://www.swmemo.com/2249.html

发表评论

邮箱地址不会被公开。 必填项已用*标注