V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
mrcn
V2EX  ›  全球工单系统

阿里旺旺(PC)一旦安装便永久驻留其组件在用户的电脑中,在未征得用户同意的前提下保留病毒程序

  •  
  •   mrcn · 2023-01-07 13:50:09 +08:00 · 2407 次点击
    这是一个创建于 722 天前的主题,其中的信息可能已经有所发展或是发生改变。

    阿里旺旺在安装时,会连同安装多个组件,包括 Alibaba PC Safe Service 以及 wwbizsrv (旺旺亮灯服务模块)等服务。

    在用户主动执行阿里旺旺相关软件的卸载程序后,包括“阿里旺旺”主程序、“支付宝安全控件”、“支付宝数字证书”等所有组件的卸载程序,上述两个服务仍然非法驻留在用户电脑中,伴随系统启动而自启动,且无法被用户以常规手段停止运行或清除。

    此外,阿里旺旺的卸载程序也不会完整清理其程序的文件,执行卸载程序且重启系统后在“C:\Program Files (x86)\AliWangWang”、“C:\Program Files (x86)\AlibabaProtect”、“C:\Program Files (x86)\Alibaba”等目录,仍然存在大量旺旺相关程序文件,占据用户硬盘空间,为其留下的后门监控程序提供了生存之地。

    证据 1:

    在执行卸载程序后,仍然留下众多程序文件,其中单“AliWangWang”目录就占用了高达 1.27GB 的硬盘空间。

    1

    证据 2:

    在执行卸载程序后,阿里旺旺仍然保留了其 Alibaba PC Safe Service 以及 wwbizsrv (旺旺亮灯服务模块)等服务的自启动,其中 Alibaba PC Safe Service 服务无法被系统管理员身份的用户以常规手段停止、清除、取消其自启动权限(相关运行控制按钮被设置为灰色,“启动类型”的修改不会被保存并应用)。

    1

    1

    补充:

    标题中的“病毒程序”,满足 维基百科 以及 百度百科 中对于计算机病毒“是一种在人为或非人为的情况下产生的、在用户不知情或未批准下,能自我复制或运行的电脑程序。电脑病毒往往会影响受感染电脑的正常运作,或是被控制而不自知,电脑正常运作仅盗窃资料、或者被利用做其他用途等用户非自发启动的行为。”的通俗性定义。

    此外,根据网友如下讨论,阿里旺旺留下的后门程序可能有诸多“占用 CPU”、“扫描硬盘文件”等影响计算机正常运行、侵害用户隐私的行为。

    V2EX: 关于旺旺 PC 版疯狂读硬盘的问题

    V2EX: AlibabaProtect 如何卸载,为什么阿里会有如此流氓的东西。

    知乎: 如何彻底删除旺旺亮灯服务模块( wwbizsrv.exe )流氓进程?

    知乎: alibabaprotect 如何删除?难道只能重装系统吗?

    知乎: Alibaba PC Safe Service 是病毒吗?

    知乎: 网传阿里安全助手不经用户确认随其他程序静默安装,并把 Steam 看作木马程序,真实情况如何?

    简单有效,如何彻底卸载删除 AlibabaProtect.exe

    BiliBili: 流氓进程 alibaba protect 彻底消灭的方法。

    希望各位 V2EX 的朋友谨慎安装该软件,避免遭受无法清除病毒程序之痛。

    8 条回复    2023-01-14 09:39:21 +08:00
    yukiww233
        1
    yukiww233  
       2023-01-07 13:56:00 +08:00
    至少 10 年前就这样,会留下一堆安全控件之类的
    yfugibr
        2
    yfugibr  
       2023-01-07 14:16:47 +08:00 via Android
    阿里做这种事太正常了
    mrcn
        3
    mrcn  
    OP
       2023-01-07 14:21:01 +08:00   ❤️ 2
    供参考的残余文件清除方法:

    0. 正常执行阿里旺旺所有相关组件的卸载程序

    1. 管理员权限运行 cmd ,执行如下命令清除服务进程。

    ```
    sc delete AlibabaProtect
    sc delete wwbizsrv
    ```

    此时 AlibabaProtect 服务仍然运行且仍然无法结束,是正常的。

    2. 运行 taskschd.msc ,删除阿里相关计划任务

    3. 重启到安全模式,删除如下驱动:

    C:\Windows\system32\drivers\AliPaladin.sys

    以及 C:\Program Files (x86)\目录下的相关残留文件夹。

    4. 继续在安全模式下,运行 regedit ,删除如下路径中的

    ```
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\
    ```

    含有如下名称的所有键值

    ```
    AlibabaProtect
    AliPaladin
    ```

    5. 重启到正常环境下,此时相关服务应该已经被清理了
    hkezh
        4
    hkezh  
       2023-01-07 14:49:04 +08:00 via iPhone
    我记得阿里旺旺还会接管用户的 chrome
    bt7vip
        5
    bt7vip  
       2023-01-07 20:17:14 +08:00 via Android
    @mrcn 哈 感觉和甲方的安全软件一样,还是进虚拟机吧
    40EaE5uJO3Xt1VVa
        6
    40EaE5uJO3Xt1VVa  
       2023-01-07 21:05:21 +08:00
    360 驱动卸载之后,会给安装一个小贝温度监控,真是够了。
    leefor2020
        7
    leefor2020  
       2023-01-12 09:25:49 +08:00
    国产软件都进虚拟机就行了
    Marionic0723
        8
    Marionic0723  
       2023-01-14 09:39:21 +08:00 via Android
    国产进虚拟机,如果必要的话单独开一台虚拟机给这些软件用,用完就回档。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2551 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:30 · PVG 18:30 · LAX 02:30 · JFK 05:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.