报一个不是病毒但是比病毒还恶心的情况，求支招

w1234zf · 发表于 2023-12-4 15:47:24

电脑上莫名被植入了一款监控软件，进程winrdlv3.exe，数字签名T.E.C Solutions (G.Z.)Limited ，软件是正规软件，客户端无法自行卸载（是合理的设定），所以杀毒杀不掉，恶心就在于这里，无法自行清除，只能重装系统，有没有高手支个招，确定不是公司内网电脑，是个人电脑，可发毒誓

火绒运营专员 · 发表于 2023-12-4 15:52:01

您好，方便留下您的联系方式吗？协助您看下问题~

w1234zf · 发表于 2023-12-4 15:54:12

火绒运营专员发表于 2023-12-4 15:52
您好，方便留下您的联系方式吗？协助您看下问题~

您好，之前找过你们工程师看过了，是监控软件

火绒运营专员 · 发表于 2023-12-4 15:58:05

w1234zf 发表于 2023-12-4 15:54
您好，之前找过你们工程师看过了，是监控软件

阻止相关进程或者安全模式下可以删除吗？

w1234zf · 发表于 2023-12-4 16:02:21

火绒运营专员发表于 2023-12-4 15:58
阻止相关进程或者安全模式下可以删除吗？

进程结束过一段时间会重生，文件删掉重启还在，应该有隐藏驱动

zgy3073 · 发表于 2023-12-4 23:08:21

1.监控软件，这种火绒5.0肯定是搞不定的，就像天锐绿盾。他开机比火绒启动的早，即便是做了执行阻止规则也没用。但是火绒做自定义规则能拦截他的行为，结束任务后可以拦截重新启动。如果火绒能像智量那样杀进程就好了。加入黑名单的启动了就杀掉。
2.进入WINPE，找到这个进程，不要删掉。改名字。然后创建一个TXT空文件，改成winrdlv3.exe，扩展名也要对。然后他就启动不了了。如果需要重新启动他，把创建的那个改名字；把他原来进程名字改回来就能恢复。

火绒运营专员 · 发表于 2023-12-5 08:35:32

zgy3073 发表于 2023-12-4 23:08
1.监控软件，这种火绒5.0肯定是搞不定的，就像天锐绿盾。他开机比火绒启动的早，即便是做了执行阻止规则也 ...

好的，我们这边也会持续关注这种监控软件，后续我们也会不断改进我们的程序，感谢您的反馈。

cjx · 发表于 2023-12-10 08:22:48

单独的火绒剑是可以强删，在驱动啊启动项啊文件啊里面直接搜索这个数字签名下然后删除就是

pzacker · 发表于 2024-10-25 14:54:40

本帖最后由 pzacker 于 2024-10-25 15:56 编辑

什么远控软件呢

rdw167 · 发表于 2024-10-25 23:01:44

挂个u盘 pe什么搞不定.