一、无意中发现“猫腻”! @& {% d F |$ z
下载前,笔者先看了一下Net Transport官方站点的更新日志:
! n) J6 ]& u. T$ G, K6 k7 n2 K' V 9 L! Z2 x0 b* x3 c9 s4 i& ~( ~; G
Net Transport 1.93 (2004.10.19)
* {2 u% K! \. ~7 P3 g- T 同时发布 "FTP 传送带",FTP客户工具
( K( @. Z) q) Y0 O! j5 ^ 一些小错误的改正
' Z/ _7 S3 a: ]9 E$ Q- K1 I 可以选择发送或不发送GUID给RealServer
; C/ W1 k* y! X( c5 j. {' [ 修正HTTP在接收数据时,在某些情况下会错误当作LIVE来处理
0 B1 N) `3 N, ]& C( S 原来新版本中增加了一个FTP客户端,看看注册价格并未发生变化,看来作者真是对用户“负责”,不过安装文件比前一个版本大了不少,达到了2.12MB。
0 f; k$ y6 T7 n. a* @; W 安装后起初笔者并没有发现任何异常,后来却无意中在查看进程管理器时发现了一个名为“visionnet.dll”的进程,而且其占用的内存资源居然有27956KB!
4 r) ?/ _. M4 F6 i 笔者的第一反应是——中病毒了!于是首先用自己的Kaspersky Anti-Virus Personal 5.0+最新病毒库对磁盘进行扫描,但并未发现病毒。于是笔者准备手动来找找这个名为“visionnet.dll”的东西,打开资源管理器,正准备搜索的时候,突然发现C:\Program Files\VisionNet文件夹。0 @( T6 D/ g# T* n* o# _
再到敏感文件夹——C:\Windows目录中查看,居然又发现了一个不速之客:windcheck2.exe!9 I/ Z. j6 D, M: Q8 y, f9 }% X
笔者再回过头来查看C:\Program Files\VisionNet文件夹,发现里面里面有个17lele.exe,抱着试试看的态度(反正我已经对系统进行了Ghost),笔者双击运行了它,结果弹出一个名为“新派休闲娱乐”的安装窗口,窗口中居然没有提供“取消”安装的按钮!无奈笔者只有将其安装,安装后发现原来是一个类似联众的游戏客户端。
' m, F5 x/ p, S9 F _9 ` 接下来笔者重新启动计算机,没有运行任何程序,运行“msconfig”检查启动项发现多了三个——一个无名的、Rundll32、17lele,他们都指向“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\winlogon”分支。7 B: N( u% ~6 k
再打开任务管理器,发现已经有两个可疑进程在运行,分别为:rundll32.exe(有两个rundll32.exe进程,其中一个为正常进程)、17lele.ex_。
4 x/ s1 V6 n, Y6 L8 [; o/ v# ~* b 至此,我们已经彻底认清了它的真面目——附加在Net Transport中安装的广告程序,而且手段极其恶劣,安装程序中对此毫无提示,软件的更新日志上也没有给出任何说明!不过笔者在企图卸载这个广告程序的时候更是费了一番工夫。
# @! g; e: x8 O5 X$ k; E) N f& V
5 i4 h( J8 o! V$ g, t% M5 x7 d7 h 二、卸载是个大问题
8 C( }0 h) E- u& B& @ 接下来笔者察看了开始菜单,并没有发现安装后的“新派休闲娱乐”程序,再到控制面板中企图卸载它,同样没有发现它的身影! s7 [! d% o* W4 ?+ _
该不是卸载程序在它的安装文件夹里吧?笔者打开C:\Program Files\VisionNet文件夹,找了半天也没有找到!看来这个东西简直跟木马病毒没什么两样了。( B2 W+ C! `2 t- ^! u# v7 M( @ Q
最后笔者经过搜索、仔细察看,终于搜集齐全(也许还有遗漏)了这个程序的所有文件。4 ?( l A3 [- H" p, m( j' x. L
如果你已经安装了Net Transport的1.93版本,那么请安装下列操作来清楚广告程序:0 A: R: N9 U) r8 U0 S9 `# M
·任务管理器中结束visionnet.dll、17lele.ex_进程;
3 b/ i0 N- ~* a ·行MSconfig,取消勾选空白名启动项、Rundll32、17lele三项;
$ ]7 f& T. L$ {, n% A, ` d ·除C:\Program Files\VisionNet文件夹,C:\Windows下的visionnet.dll、windcheck2.exe、NMWizardA14.exe, C:\WINDOWS\Prefetch下的VISIONNET.DLL-*****.pf,C:\下面的vml文件夹;, m( B- c! O, l# j o; d
·开注册表,搜索所有visionnet、windcheck2、nmwizarda14、17lele关键字,将搜索结果全部删除;' x3 c& ]: E5 C3 f) _6 Z% F* U/ o
·重新启动计算机。* L% D% L9 d- B+ T; d& `: S
此外需要特别提醒大家的是:卸载Net Transport并不能卸载其带来的广告程序,仍然需要上面的步骤完成卸载。上面是笔者的尝试,如果有疏漏的地方,还请大家指出。 |
/1 
|Archiver|小黑屋|宽带技术网
|网站地图 
粤公网安备44152102000001号 
发表于 2004-12-21 15:45:31