干掉阿里系软件的流氓进程——AlibabaProtect.exe
source link: https://masuit.com/2006
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
安装来自淘宝、支付宝相关的软件、控件会在用户系统内生成一个AlibabaProtect.exe常驻进程服务。这个服务目前没有任何文档说明是干什么用的,而且会占用用户一定的CPU计算资源,如果用户使用的是笔记本,通常会导致在没开任何程序的情况下,散热风扇起转、产生烦心的噪音等困扰。该进程可能还监控上网行为;精准广告投放!比QQprotect还流氓!
懒得勤快的博客_互联网分享精神masuit.com|ldqk.org|ldqk.xyz|masuit.tk|ldqk.tk进程根本杀不掉,因为它是驱动级启动的
我发现AlibabaProtect.exe会监控全磁盘的文件变动,注意是全磁盘,但是一般轻易发现不了,因为速度非常快。但是有些时候还是会露马脚。比如,会导致移动储存设备盘符一直被锁定,即便几个小时不用也无法正常从系统删除。还有,当一个纯作为储存用途的文件夹(未关联任何程序),内部文件过于数量庞大时(数量上万,体积超过200GB),快速的连续修改这个文件夹的名字,除第一次外,后面有机会出现“当前文件夹被占用”的情况,一般这个时间很短,间隔1-2秒就可正常修改,所以要快速的连续修改名字才会出现。
给这个文件夹取个不常见的名字,然后快速的做些重命名,当弹窗文件占用的时候不要点,保持系统中断状态,然后不需要借助任何软件,使用win10自带的资源监视器,在关联句柄那里可以直接搜这个文件夹名中的关键字,不出意外,你就会搜到AlibabaProtect.exe正在访问这个路径下的某个文件。
用火绒添加AlibabaProtect的访问规则限制,分分钟几千次扫描文件的行为!
尝试使用火绒干掉他
因为它是一个服务,所以就想着火绒是否可以快速的结束它。
懒得勤快的博客_互联网分享精神masuit.com|ldqk.org|ldqk.xyz|masuit.tk|ldqk.tk找到了该项,设置为禁止启动,然后重启。
最终结果:无效。
到这里更加加深了我的恐惧,究竟是什么样的程序,怎么样的启动方式,居然通过常规手段无法禁止它启动。
接下来就干掉它!
1. Windows+R运行打开%systemroot%\system32\drivers目录,找到AliPaladin*.sys文件,用火绒粉碎它!
懒得勤快的博客_互联网分享精神masuit.com|ldqk.org|ldqk.xyz|masuit.tk|ldqk.tk2. 管理员模式打开cmd,输入 sc delete AlibabaProtect 回车,删除AlibabaProtect服务,得到成功的提示。
3. 重启电脑,任务管理器中alibabaprotect进程和服务已经消失。
懒得勤快的博客_互联网分享精神masuit.com|ldqk.org|ldqk.xyz|masuit.tk|ldqk.tk4. 进入C:\Program Files (x86)目录,用火绒粉碎掉AlibabaProtect整个目录下的所有文件,并将这个目录权限设置成只读和拒绝访问。
或者粗暴点,直接将所有的组和用户名全部删除,这样任何用户都没有这个文件夹的权限了!
5. 如果实在还不放心,可以在火绒里面添加自定义规则,阻止文件夹带AlibabaProtect的任何行为,比如联网,读取文件的行为
6. 享受清净!
AlibabaProtect.exe的流氓性描述
有网友将其描述为监视与间谍软件。
懒得勤快的博客_互联网分享精神masuit.com|ldqk.org|ldqk.xyz|masuit.tk|ldqk.tk有网友发现AlibabaProtect是以驱动的方式加载的,无法删除。
懒得勤快的博客_互联网分享精神masuit.com|ldqk.org|ldqk.xyz|masuit.tk|ldqk.tk有网友发现AlibabaProtect扫描磁盘。并且指出了两个现象,一个是U盘、移动硬盘等设备在弹出后,磁盘符并没有消失,表明有程序正占用该磁盘;另一个是对文件夹进行快速频繁的重命名操作时,有时会发生错误,发现AlibabaProtect在占用磁盘。(在安装阿里旺旺后,删除AlibabaProtect之前,我弹出U盘,盘符确实会停留一段时间,而且我似乎也跟踪到了它在扫描磁盘文件)
有网友发现AlibabaProtect占用网络,每天上传的数据有7-8MB。
有网友发现即使在服务中禁用AlibabaProtect.exe服务,其仍可以变为启用状态。(看了下我电脑上的AlibabaProtect服务,连禁用按钮都不让按,只能眼睁睁看着它扫描磁盘、上传数据)
按照以上描述,我认为AlibabaProtect是一个流氓进程。虽然官方描述好像是更新和维护阿里的程序,但它确实是扫描了我的磁盘,还占用了大量的CPU资源。可疑的是,AlibabaProtect的安全级别很高,它伪装成驱动程序,难以删除。一般软件的更新等进程根本不需要这样,极有可能是AlibabaProtect想赖在电脑里不想走,以便达成某些不能见光的目的。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK