火绒不断爆 winrdlv3，请问如何删除或禁用该目标？

muxinperi · 发表于 2024-11-8 20:54

诸位大神，自11月4日起，火绒不断爆出病毒提示，如后及附件日志所示。
IT承认是安装了监控软件，威盾。笔记本为个人所有，非常不愿。
请问在不重装系统的前提下，如何卸载或是禁用此监控软件？
万分感谢！

【1】2024-11-08 20:40:31,病毒防护,文件实时监控,发现病毒Exploit/Winrdlv3.a$IPG, 已处理

病毒名称：Exploit/Winrdlv3.a$IPG
病毒ID：E85E2F8672CA3B50
病毒路径：C:\Windows\System32\winrdlv3.exe
操作类型：修改
操作结果：已处理，删除文件

进程ID：2072
操作进程：C:\Program Files (x86)\Common Files\System\winrdgv3.exe
操作进程命令行："C:\Program Files (x86)\Common Files\System\winrdgv3.exe"
父进程：C:\Windows\System32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2024-11-08 20:40:15,病毒防护,文件实时监控,发现病毒Exploit/Winrdlv3.a$IPG, 已处理

病毒名称：Exploit/Winrdlv3.a$IPG
病毒ID：E85E2F8672CA3B50
病毒路径：C:\Windows\System32\winrdlv3.exe
操作类型：修改
操作结果：已处理，删除文件

进程ID：12148
操作进程：C:\Program Files (x86)\Common Files\System\winrdgv3.exe
操作进程命令行："C:\Program Files (x86)\Common Files\System\winrdgv3.exe"
父进程：C:\Windows\System32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2024-11-08 20:39:59,病毒防护,文件实时监控,发现病毒Exploit/Winrdlv3.a$IPG, 已处理

病毒名称：Exploit/Winrdlv3.a$IPG
病毒ID：E85E2F8672CA3B50
病毒路径：C:\Windows\System32\winrdlv3.exe
操作类型：修改
操作结果：已处理，删除文件

进程ID：11932
操作进程：C:\Program Files (x86)\Common Files\System\winrdgv3.exe
操作进程命令行："C:\Program Files (x86)\Common Files\System\winrdgv3.exe"
父进程：C:\Windows\System32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2024-11-08 20:39:42,病毒防护,文件实时监控,发现病毒Exploit/Winrdlv3.a$IPG, 已处理

病毒名称：Exploit/Winrdlv3.a$IPG
病毒ID：E85E2F8672CA3B50
病毒路径：C:\Windows\System32\winrdlv3.exe
操作类型：修改
操作结果：已处理，删除文件

进程ID：15712
操作进程：C:\Program Files (x86)\Common Files\System\winrdgv3.exe
操作进程命令行："C:\Program Files (x86)\Common Files\System\winrdgv3.exe"
父进程：C:\Windows\System32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

czz404 · 发表于 2024-11-8 22:01

https://bbs.huorong.cn/thread-146487-1-1.html
若您的企业环境需要使用IP-guard：
1、及时更新火绒管理中心、终端版本及病毒库至最新版本，并升级IP-guard至最新版本；
2、火绒个人版/企业版开启程序控制功能-【远程控制工具】选项：
（1）个人版6.0通过“防护中心”-“系统防护”-“风险软件监控”，开启“远程控制工具”功能，并将IP-guard进行关闭，其他远程软件根据运维需求选择是否需要限制；
（2）企业版及个人版5.0通过开启“访问控制”-“程序执行控制”，开启“远程控制工具”功能，并将IP-guard进行关闭，其他远程软件根据运维需求选择是否需要关闭；
3、谨慎运行邮件中的附件、即时通讯工具中接收的文件

muxinperi · 发表于 2024-11-8 21:56

补充：netstat -an

协议  本地地址       外部地址       状态
  TCP 0.0.0.0:135          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:445          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:1030          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:5040          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:5357          0.0.0.0:0             LISTENING
  TCP 0.0.0.0:49664       0.0.0.0:0             LISTENING
  TCP 0.0.0.0:49665       0.0.0.0:0             LISTENING
  TCP 0.0.0.0:49666       0.0.0.0:0             LISTENING
  TCP 0.0.0.0:49667       0.0.0.0:0             LISTENING
  TCP 0.0.0.0:49668       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:1036       127.0.0.1:54533       ESTABLISHED
  TCP 127.0.0.1:1039       127.0.0.1:1040       ESTABLISHED
  TCP 127.0.0.1:1040       127.0.0.1:1039       ESTABLISHED
  TCP 127.0.0.1:1070       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:1071       127.0.0.1:65001       ESTABLISHED
  TCP 127.0.0.1:5700       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:8884       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:10000       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:37021       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:37022       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:54530       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:54533       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:54533       127.0.0.1:1036       ESTABLISHED
  TCP 127.0.0.1:55925       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:65001       0.0.0.0:0             LISTENING
  TCP 127.0.0.1:65001       127.0.0.1:1071       ESTABLISHED
  TCP 192.168.3.14:139    0.0.0.0:0             LISTENING
  TCP 192.168.3.14:1025    20.197.71.89:443    ESTABLISHED
  TCP 192.168.3.14:1055    52.98.84.114:443    TIME_WAIT
  TCP 192.168.3.14:1102    13.67.10.228:8883    ESTABLISHED
  TCP 192.168.3.14:1151    20.194.180.207:443    ESTABLISHED
  TCP 192.168.3.14:1174    20.197.71.89:443    ESTABLISHED
  TCP 192.168.3.14:1318    61.130.5.115:443    CLOSE_WAIT
  TCP 192.168.3.14:1319    202.89.233.101:443    ESTABLISHED
  TCP 192.168.3.14:1320    202.89.233.101:443    ESTABLISHED
  TCP 192.168.3.14:1321    202.89.233.101:443    ESTABLISHED
  TCP 192.168.3.14:1322    115.231.223.3:443    ESTABLISHED
  TCP 192.168.3.14:1323    20.42.72.131:443    ESTABLISHED
  TCP 192.168.3.14:1324    40.126.35.85:443    ESTABLISHED
  TCP 192.168.3.14:1325    52.98.84.114:443    ESTABLISHED
  TCP 192.168.3.14:1326    152.195.38.76:80    ESTABLISHED
  TCP 192.168.3.14:1327    4.144.165.14:443    ESTABLISHED
  TCP 192.168.3.14:1329    202.89.233.101:443    ESTABLISHED
  TCP 192.168.3.14:1355    220.181.38.156:443    ESTABLISHED
  TCP 192.168.3.14:1356    220.181.38.156:443    ESTABLISHED
  TCP 192.168.3.14:1357    202.89.233.101:443    ESTABLISHED
  TCP 192.168.3.14:1358    20.42.73.31:443       ESTABLISHED
  TCP 192.168.3.14:1359    180.101.50.242:443    ESTABLISHED
  TCP 192.168.3.14:1360    4.144.165.14:443    ESTABLISHED
  TCP 192.168.3.14:1361    60.190.116.36:443    ESTABLISHED
  TCP 192.168.3.14:1362    180.101.50.242:443    ESTABLISHED
  TCP 192.168.3.14:1363    118.212.224.36:443    ESTABLISHED
  TCP 192.168.3.14:1364    106.225.233.38:443    ESTABLISHED
  TCP 192.168.3.14:1365    115.231.179.172:443 ESTABLISHED
  TCP 192.168.3.14:1366    118.212.224.36:443    ESTABLISHED
  TCP 192.168.3.14:1367    180.101.50.242:443    ESTABLISHED
  TCP 192.168.3.14:1368    180.101.50.242:443    ESTABLISHED
  TCP 192.168.3.14:1370    180.101.49.193:443    ESTABLISHED
  TCP 192.168.3.14:1371    118.212.224.48:443    ESTABLISHED
  TCP 192.168.3.14:1373    180.101.49.193:443    ESTABLISHED
  TCP 192.168.3.14:1374    180.101.50.147:443    ESTABLISHED
  TCP 192.168.3.14:1375    180.101.50.147:443    ESTABLISHED
  TCP 192.168.3.14:1376    120.41.32.33:443    ESTABLISHED
  TCP 192.168.3.14:1377    183.131.62.38:443    ESTABLISHED
  TCP [::]:135             [::]:0                LISTENING
  TCP [::]:445             [::]:0                LISTENING
  TCP [::]:1030             [::]:0                LISTENING
  TCP [::]:5357             [::]:0                LISTENING
  TCP [::]:49664          [::]:0                LISTENING
  TCP [::]:49665          [::]:0                LISTENING
  TCP [::]:49666          [::]:0                LISTENING
  TCP [::]:49667          [::]:0                LISTENING
  TCP [::]:49668          [::]:0                LISTENING
  TCP [::1]:1024          [::]:0                LISTENING
  TCP [::1]:5700          [::]:0                LISTENING
  TCP [::1]:37021          [::]:0                LISTENING
  TCP [::1]:37022          [::]:0                LISTENING
  UDP 0.0.0.0:500          *:*
  UDP 0.0.0.0:3702          *:*
  UDP 0.0.0.0:3702          *:*
  UDP 0.0.0.0:3702          *:*
  UDP 0.0.0.0:3702          *:*
  UDP 0.0.0.0:4500          *:*
  UDP 0.0.0.0:5050          *:*
  UDP 0.0.0.0:5353          *:*
  UDP 0.0.0.0:5353          *:*
  UDP 0.0.0.0:5355          *:*
  UDP 0.0.0.0:49668       *:*
  UDP 0.0.0.0:52273       *:*
  UDP 0.0.0.0:55010       *:*
  UDP 0.0.0.0:55012       *:*
  UDP 0.0.0.0:65026       *:*
  UDP 127.0.0.1:1900       *:*
  UDP 127.0.0.1:10010       *:*
  UDP 127.0.0.1:40000       *:*
  UDP 127.0.0.1:49666       *:*
  UDP 127.0.0.1:49670       *:*
  UDP 127.0.0.1:54679       *:*
  UDP 192.168.3.14:137    *:*
  UDP 192.168.3.14:138    *:*
  UDP 192.168.3.14:1900    *:*
  UDP 192.168.3.14:5353    *:*
  UDP 192.168.3.14:54678    *:*
  UDP [::]:500             *:*
  UDP [::]:3702             *:*
  UDP [::]:3702             *:*
  UDP [::]:3702             *:*
  UDP [::]:3702             *:*
  UDP [::]:4500             *:*
  UDP [::]:49669          *:*
  UDP [::]:52015          *:*
  UDP [::]:52274          *:*
  UDP [::]:55011          *:*
  UDP [::1]:1900          *:*
  UDP [::1]:5353          *:*
  UDP [::1]:54677          *:*

Wang888888 · 发表于 2024-11-8 21:59

那么吓人，真的假的，怎么办

muxinperi · 发表于 2024-11-8 22:41

使用agttool好像是干掉了，有一个多小时没有再爆出来。不知道后面还会不会有。C:\Windows\System32\winrdlv3.exe，这个也没有了。

muxinperi · 发表于 2024-11-8 22:42

czz404 发表于 2024-11-8 22:01
https://bbs.huorong.cn/thread-146487-1-1.html
若您的企业环境需要使用IP-guard：
1、及时更新火绒管理 ...

谢谢！已更新火绒6.0，开启了相关防护。
此问题的发现，据说是因为火绒的升级，公司内全爆了出来。IT让更新一份威盾的程序，我拒绝了。

pxhzai · 发表于 2024-11-8 22:59

个人电脑看过小姐姐吗？看过的他都有记录。
直接社死。

mythe777 · 发表于 2024-11-8 23:42

个人笔记本还让你装监控？这厉害了公司电脑还理解

suhaoyue · 发表于 2024-11-9 04:53

监控无所不在啊

吾爱石皮姐 · 发表于 2024-11-9 08:58

为什么个人电脑要安装内部软件，建议工作和生活的电脑硬件应该分开

帐号		自动登录	找回密码
密码			注册[Register]