卸载北信源内网桌面监控的完全攻略

来源：互联网发布：丁威特电子狗升级软件编辑：程序博客网时间：2024/04/27 18:44

最近被北信源桌面监控折磨的不行，网上查了才知道，这玩意儿是个公安部认可的木马软件，用于监控员工的上网行为，网管可远程控制安装了客户端的机器，包括截图或上传下载任意文件。

这玩意儿采取了多进程守护、系统隐藏服务、底层驱动三种方式来躲避被杀，简直是流氓中的流氓。有的安装后自带卸载程序，但需要卸载密码，必须打电话给网管才能卸载。这个卸载密码是根据序列号来的，但这个序列号又不是固定的，是随机的。也就是说，只要安装过一回这个监控，想卸载就必须跟网管打一回电话。恶心至极。

跟这监控做了好几天的斗争，终于找到并整理出了完全解决方案：

清理步骤

1、从下面两个网址下载卸载程序：

绿色网傲下载地址：猛击这里

千脑网盘下载地址：猛击这里

// 解压密码都是 www.oha99.com// 如果有杀毒软件报告病毒，属于误报，请放心使用。

（以管理员身份）运行，点击“卸载”按钮。

2、重新启动计算机。

3、将下列内容复制保存为 bat 文件，（以管理员身份）运行：

@echo offecho **************************************************echo * 北信源内网桌面监控客户端 清理批处理echo * By davidhsing, on 2011-12-08echo * For more information, please visit:echo * http://blog.csdn.net/davidhsingecho *echo * 如果文件因拒绝访问而删除失败，请先执行卸载步骤并重启计算机。echo **************************************************echo *echo * 正在删除 北信源桌面监控 Pcap 驱动 ...del /f /q %SystemRoot%\System32\drivers\EdpPcap.sysecho * 正在删除 北信源桌面监控 EDP 文件 ...del /f /q %SystemRoot%\System32\Edp_FwLog.exedel /f /q %SystemRoot%\System32\Edp802XKey.exedel /f /q %SystemRoot%\System32\edpaudfliter.dlldel /f /q %SystemRoot%\System32\EdpAuthBk.datdel /f /q %SystemRoot%\System32\EdpBKFile.dlldel /f /q %SystemRoot%\System32\EdpCdrom.dlldel /f /q %SystemRoot%\System32\edpCheckTemplete.xmldel /f /q %SystemRoot%\System32\EdpCltAuth.inidel /f /q %SystemRoot%\System32\edpdisk.chmdel /f /q %SystemRoot%\System32\edpDiskInfoEx.dlldel /f /q %SystemRoot%\System32\EdpDNSA.datdel /f /q %SystemRoot%\System32\EdpEapSwitch.exedel /f /q %SystemRoot%\System32\EdpEDisk.dlldel /f /q %SystemRoot%\System32\EdpEDisk.exedel /f /q %SystemRoot%\System32\EdpEDisk.sysdel /f /q %SystemRoot%\System32\edpfind.dlldel /f /q %SystemRoot%\System32\edpfunction.inidel /f /q %SystemRoot%\System32\EdpFwRul.datdel /f /q %SystemRoot%\System32\EdpFwRul.flgdel /f /q %SystemRoot%\System32\EdpGetHard.exedel /f /q %SystemRoot%\System32\EdpHard.dlldel /f /q %SystemRoot%\System32\edpHardware.dlldel /f /q %SystemRoot%\System32\EdpHReg_C.dlldel /f /q %SystemRoot%\System32\edpidm.catdel /f /q %SystemRoot%\System32\EdpIdm.infdel /f /q %SystemRoot%\System32\EdpIdm.sysdel /f /q %SystemRoot%\System32\EdpIdm_m.infdel /f /q %SystemRoot%\System32\edpidm_x64.catdel /f /q %SystemRoot%\System32\EdpIdm_x64.sysdel /f /q %SystemRoot%\System32\EdpIdmI.dlldel /f /q %SystemRoot%\System32\EdpIdmPacket.dlldel /f /q %SystemRoot%\System32\edpimlog.dlldel /f /q %SystemRoot%\System32\EdpIMMonitor_c.dlldel /f /q %SystemRoot%\System32\edpkillv.exedel /f /q %SystemRoot%\System32\EdpKMLock.exedel /f /q %SystemRoot%\System32\Edplibeay32.dlldel /f /q %SystemRoot%\System32\edplimit.keydel /f /q %SystemRoot%\System32\edpLimit3.keydel /f /q %SystemRoot%\System32\EdpMenuInfo.inidel /f /q %SystemRoot%\System32\EdpMsgShow.exedel /f /q %SystemRoot%\System32\EdpNclt.exedel /f /q %SystemRoot%\System32\edpnfp.datdel /f /q %SystemRoot%\System32\edpoem.windel /f /q %SystemRoot%\System32\edpoem.win1del /f /q %SystemRoot%\System32\EdpPacket.dlldel /f /q %SystemRoot%\System32\EdpPacket_2k.dlldel /f /q %SystemRoot%\System32\EdpPacket_nt4.dlldel /f /q %SystemRoot%\System32\EdpPacket_vista.dlldel /f /q %SystemRoot%\System32\EdpPatch.crcdel /f /q %SystemRoot%\System32\EdpPatchInfo.datdel /f /q %SystemRoot%\System32\EdpPcap.dlldel /f /q %SystemRoot%\System32\EdpPcap.sysdel /f /q %SystemRoot%\System32\EdpPcap_64.sysdel /f /q %SystemRoot%\System32\EdpPcap_nt4.sysdel /f /q %SystemRoot%\System32\EdpPort.dlldel /f /q %SystemRoot%\System32\EdpProcess.crcdel /f /q %SystemRoot%\System32\EdpProcessFlux.XSLdel /f /q %SystemRoot%\System32\EdpProcFlow.dlldel /f /q %SystemRoot%\System32\EdpPromptUI.dlldel /f /q %SystemRoot%\System32\EdpPromptUI.exedel /f /q %SystemRoot%\System32\edppromptui2.dlldel /f /q %SystemRoot%\System32\EdpProtect.inidel /f /q %SystemRoot%\System32\EdpProtectSelf.dlldel /f /q %SystemRoot%\System32\EdpRegMon.dlldel /f /q %SystemRoot%\System32\edpRemote.exedel /f /q %SystemRoot%\System32\EdpRf_inf.dlldel /f /q %SystemRoot%\System32\EdpSafeCertify.dlldel /f /q %SystemRoot%\System32\edpscopehook.dlldel /f /q %SystemRoot%\System32\edpscr.dlldel /f /q %SystemRoot%\System32\edpscr_c.exedel /f /q %SystemRoot%\System32\edpscr_s.exedel /f /q %SystemRoot%\System32\edpsdll1.dlldel /f /q %SystemRoot%\System32\edpsdll2.dlldel /f /q %SystemRoot%\System32\edpSeccheck.dlldel /f /q %SystemRoot%\System32\edpsecurityburn.datadel /f /q %SystemRoot%\System32\edpSecurityBurn.dlldel /f /q %SystemRoot%\System32\EdpSecurityCheck.exedel /f /q %SystemRoot%\System32\edpSetup.logdel /f /q %SystemRoot%\System32\EdpSetupAPI64.dlldel /f /q %SystemRoot%\System32\EdpSigner.exedel /f /q %SystemRoot%\System32\edpSnap.dlldel /f /q %SystemRoot%\System32\EdpSoft.dlldel /f /q %SystemRoot%\System32\EdpSoftware.crcdel /f /q %SystemRoot%\System32\Edpssleay32.dlldel /f /q %SystemRoot%\System32\EdpTools.exedel /f /q %SystemRoot%\System32\EdpTrayIcon.exedel /f /q %SystemRoot%\System32\EdpUnPatch.exedel /f /q %SystemRoot%\System32\EdpUSB.dlldel /f /q %SystemRoot%\System32\EDPUsbInterface.dlldel /f /q %SystemRoot%\System32\Edpuuid.dlldel /f /q %SystemRoot%\System32\EdpVerifySign.dlldel /f /q %SystemRoot%\System32\EdpVirLog.dlldel /f /q %SystemRoot%\System32\EdpVistaDlg.exedel /f /q %SystemRoot%\System32\EdpVistaDlg.exe.bakdel /f /q %SystemRoot%\System32\EDPVSC.EXEdel /f /q %SystemRoot%\System32\edpvscap.exedel /f /q %SystemRoot%\System32\EdpwPacket.dlldel /f /q %SystemRoot%\System32\EdpXclt.exedel /f /q %SystemRoot%\System32\EdpXclt.rptdel /f /q %SystemRoot%\System32\edpxcltset.inidel /f /q %SystemRoot%\System32\EdpZip.dllecho * 正在删除 北信源桌面监控 VRV 文件 ...del /f /q %SystemRoot%\System32\vrv_virusdatabase.XMLdel /f /q %SystemRoot%\System32\vrvarp.exedel /f /q %SystemRoot%\System32\vrvarpl.exedel /f /q %SystemRoot%\System32\vrvaud_c.dlldel /f /q %SystemRoot%\System32\Vrvaud_c.sysdel /f /q %SystemRoot%\System32\VRVAUD_C.VXDdel /f /q %SystemRoot%\System32\Vrvaud_c64.sysdel /f /q %SystemRoot%\System32\vrvaudsf.sysdel /f /q %SystemRoot%\System32\vrvaudsf2k.sysdel /f /q %SystemRoot%\System32\vrvaudsf64.sysdel /f /q %SystemRoot%\System32\VrvBkFile.logdel /f /q %SystemRoot%\System32\Vrvctl.ocxdel /f /q %SystemRoot%\System32\vrvdelarp.exedel /f /q %SystemRoot%\System32\vrvedp_m.dlldel /f /q %SystemRoot%\System32\VRVEDP_M.EXEdel /f /q %SystemRoot%\System32\VrvEdp_m.exe.bakdel /f /q %SystemRoot%\System32\vrvedp_m.exe.sigdel /f /q %SystemRoot%\System32\vrvedp_m.hkdel /f /q %SystemRoot%\System32\VrvEdp_m.rptdel /f /q %SystemRoot%\System32\vrvfind.dlldel /f /q %SystemRoot%\System32\VRVFluxInfo.dlldel /f /q %SystemRoot%\System32\VrvFw.sysdel /f /q %SystemRoot%\System32\VRVFW.VXDdel /f /q %SystemRoot%\System32\vrvFw_c.dlldel /f /q %SystemRoot%\System32\VRVFW_D.VXDdel /f /q %SystemRoot%\System32\VrvFwInstall.exedel /f /q %SystemRoot%\System32\VRVHOOK.DLLdel /f /q %SystemRoot%\System32\Vrvhw_c.dlldel /f /q %SystemRoot%\System32\VrvKeyBoard.dlldel /f /q %SystemRoot%\System32\vrvkeymon.dlldel /f /q %SystemRoot%\System32\VrvKS_c.dlldel /f /q %SystemRoot%\System32\VRVPerTemplate.exedel /f /q %SystemRoot%\System32\vrvpolicy.xmldel /f /q %SystemRoot%\System32\vrvprt_c.dlldel /f /q %SystemRoot%\System32\vrvprt_c1.dlldel /f /q %SystemRoot%\System32\vrvpwk.dlldel /f /q %SystemRoot%\System32\vrvpz.inidel /f /q %SystemRoot%\System32\vrvrf_c.exedel /f /q %SystemRoot%\System32\vrvrf_c.lgdel /f /q %SystemRoot%\System32\vrvrf_cInterface.dlldel /f /q %SystemRoot%\System32\vrvrf_d.lgdel /f /q %SystemRoot%\System32\VRVRF_IE.EXEdel /f /q %SystemRoot%\System32\vrvrf_m.lgdel /f /q %SystemRoot%\System32\vrvrun_c.dlldel /f /q %SystemRoot%\System32\Vrvsafec.exedel /f /q %SystemRoot%\System32\vrvsc_c.dlldel /f /q %SystemRoot%\System32\vrvsdll1.dlldel /f /q %SystemRoot%\System32\vrvsdll2.dlldel /f /q %SystemRoot%\System32\VrvSetup.inidel /f /q %SystemRoot%\System32\VrvSnap.dlldel /f /q %SystemRoot%\System32\VrvSniffer.exedel /f /q %SystemRoot%\System32\VRVSOFTDB.xmldel /f /q %SystemRoot%\System32\vrvsys_c.xmldel /f /q %SystemRoot%\System32\VRVTrustVerify.dlldel /f /q %SystemRoot%\System32\VrvZip.dllecho * 正在删除 北信源桌面监控 安装/卸载 文件 ...del /f /q %SystemRoot%\System32\InstallIdm.exedel /f /q %SystemRoot%\System32\InstallIdm_x64.exedel /f /q %SystemRoot%\System32\UnInstallEdp.*del /f /q %SystemRoot%\System32\WatchClient.*del /f /q %SystemRoot%\System32\VirusSTDB.xmlecho * 正在删除 北信源桌面监控 残留目录 ...rd /s /q %SystemRoot%\System32\AntiToolPackrd /s /q %SystemRoot%\System32\Languagerd /s /q %SystemRoot%\System32\Picrd /s /q %SystemRoot%\System32\SysMenurd /s /q %SystemRoot%\System32\SysUtilityecho 正在删除 北信源桌面监控 日志文件 ...del /f /q %SystemRoot%\..\edpmain.logdel /f /q %SystemRoot%\..\regist.logdel /f /q %SystemRoot%\..\vrvdata.datecho *echo * 已删除 北信源内网桌面监控客户端 所有文件。按任意键退出！echo **************************************************pause@echo onexit

至此清理完成！

注意
如果卸载了北信源桌面监控，会受到其他安装了监控的机器的 ARP 攻击导致无法上网。
故需要安装支持 ARP 防护功能的防火墙软件，例如 360安全卫士或天网防火墙。