首先是生成的文件，别看它安装程序那么小，其实生成的文件很多也一点都不小
C:\Program Files\Common Files\System
C:\WINDOWS\system32\drivers
C:\WINDOWS\system32
三个文件夹下所有“公司”为“TEC Solutions Limited.”的文件，约有20多个
============================================
注册表启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
     <{A16CA976-4B8D-47FC-A9F4-651C17B636EF}><C:\WINDOWS\system32\msowcnv3.dll>
============================================
添加的服务
[Windows Helper Service / Winhlpsvr]
   <C:\Program Files\Common Files\System\winrdgv3.exe>
============================================
加载的驱动文件
[TFsfltdrv / TFsfltdrv]
   <C:\WINDOWS\system32\drivers\tfsfltdrv.sys>
[TPacket Driver / TPacket]
   <C:\WINDOWS\System32\Drivers\tpacket.sys>
[TSysDrv / TSysDrv]
   <C:\WINDOWS\system32\drivers\TSysDrv.sys>
============================================
可以在进程管理中直接看到的两个进程（通过系统的rundll32程序来运行）
C:\WINDOWS\system32\rundll32.exe winoav3.dll runagent32
C:\WINDOWS\system32\rundll32.exe winoauv3.dll runagent32u
============================================
DLL注入 (包括但不限于以下进程，有可能有很多，请自行查看每个进程，凡文件厂商为 TEC Solutions Limited. 的DLL即是被IP-Guard注入的)
[C:\WINDOWS\system32\winlogon.exe]
[C:\WINDOWS\Explorer.EXE]
[C:\WINDOWS\system32\rundll32.exe]
[C:\WINDOWS\system32\ctfmon.exe]
============================================
API 挂钩（Hook dll: C:\WINDOWS\system32\winhadnt.dll）
入口点：DeleteFileW
入口点：FindFirstFileExW
入口点：CreateFileW
入口点：CopyFileExW
入口点：SHFileOperationW
看它有多毒……凡是创建、删除、复制、查看等与文件有关的操作全被它控制
======================================================
知道它干了些什么就好办了，对付它用 IceSword 或者 XueTr 这样的工具就可以了，把能删的全删，能卸载的全卸，
只要看到8235端口没有被使用就说明它已经不与服务器连接了，并且在重启后如果那三个文件夹下不再生成文件就说明彻底干净了
PS. 如果不想完全搞掉它只想不被监视，有个简单的方法：开机的时候选Ghost工具，用下面的DOS环境把rundll32.exe改个名字就可以了，
当然这不是好办法，因为rundll32是个有用的系统程序 
          
用XueTr软件，然后清理那些公司名称是TEC的，然后删除注册表的TEC分支，最后在c盘查找文件公司是TEC的
（点击查看－详细信息—然后在下面的名称、文件大小处点击右键——其它，找到公司并打勾）。
全部删除。总共有的文件数量和你被Guard的项目有一点关系，一般大约有近30个需要删除的。祝上网快乐！