一、无意中发现“猫腻”$ r9 Q# \* M- ?
下载前,笔者先看了一下Net Transport官方站点的更新日志:' b/ h q) w' w" C6 H/ F
7 H8 K$ O0 Y4 N Net Transport 1.93 (2004.10.19)
# G5 _: w- y6 O 同时发布 "FTP 传送带",FTP客户工具 0 p! \- o4 \9 D" v# k
一些小错误的改正 ( m( N; o# p+ ~1 L
可以选择发送或不发送GUID给RealServer ; \9 V" X- |1 z6 Z
修正HTTP在接收数据时,在某些情况下会错误当作LIVE来处理
$ N2 }3 ?/ y' Y# _( ~, V 原来新版本中增加了一个FTP客户端,看看注册价格并未发生变化,看来作者真是对用户“负责”,不过安装文件比前一个版本大了不少,达到了2.12MB。/ {, P: |/ E. d' Y# v
安装后起初笔者并没有发现任何异常,后来却无意中在查看进程管理器时发现了一个名为“visionnet.dll”的进程,而且其占用的内存资源居然有27956KB!5 E, ^. p: M8 G9 h d0 ?' |2 o9 [
笔者的第一反应是——中病毒了!于是首先用自己的Kaspersky Anti-Virus Personal 5.0+最新病毒库对磁盘进行扫描,但并未发现病毒。于是笔者准备手动来找找这个名为“visionnet.dll”的东西,打开资源管理器,正准备搜索的时候,突然发现C:\Program Files\VisionNet文件夹。
3 H$ B- u1 s- v" ]8 j# {9 m 再到敏感文件夹——C:\Windows目录中查看,居然又发现了一个不速之客:windcheck2.exe!
& f6 U4 Z( {" K: }3 K) C* u 笔者再回过头来查看C:\Program Files\VisionNet文件夹,发现里面里面有个17lele.exe,抱着试试看的态度(反正我已经对系统进行了Ghost),笔者双击运行了它,结果弹出一个名为“新派休闲娱乐”的安装窗口,窗口中居然没有提供“取消”安装的按钮!无奈笔者只有将其安装,安装后发现原来是一个类似联众的游戏客户端。
' s* M5 D. @! T; l5 g0 r/ \ 接下来笔者重新启动计算机,没有运行任何程序,运行“msconfig”检查启动项发现多了三个——一个无名的、Rundll32、17lele,他们都指向“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\winlogon”分支。3 o& Y" @! ]' [, w& ~
再打开任务管理器,发现已经有两个可疑进程在运行,分别为:rundll32.exe(有两个rundll32.exe进程,其中一个为正常进程)、17lele.ex_。4 r( t) U6 e* O6 A' e; f" [& X: i
至此,我们已经彻底认清了它的真面目——附加在Net Transport中安装的广告程序,而且手段极其恶劣,安装程序中对此毫无提示,软件的更新日志上也没有给出任何说明!不过笔者在企图卸载这个广告程序的时候更是费了一番工夫。
5 G8 X4 `# A# j: ^9 ]. C, h# \ ?+ C% s4 s1 C' O4 }
二、卸载是个大问题. u7 W: V/ A' E+ n
接下来笔者察看了开始菜单,并没有发现安装后的“新派休闲娱乐”程序,再到控制面板中企图卸载它,同样没有发现它的身影!1 }& v% C$ C% z4 K6 p
该不是卸载程序在它的安装文件夹里吧?笔者打开C:\Program Files\VisionNet文件夹,找了半天也没有找到!看来这个东西简直跟木马病毒没什么两样了。) U0 J& a3 r+ f& a- M; p. N6 e
最后笔者经过搜索、仔细察看,终于搜集齐全(也许还有遗漏)了这个程序的所有文件。+ Q& F$ K3 W* n A$ |' y& {
如果你已经安装了Net Transport的1.93版本,那么请安装下列操作来清楚广告程序:
( n3 {: `7 z7 ?% m: P( z ·任务管理器中结束visionnet.dll、17lele.ex_进程;4 f+ J1 D1 }% e4 ^' G( F: h
·行MSconfig,取消勾选空白名启动项、Rundll32、17lele三项;& V O8 g d! w$ |8 J2 t
·除C:\Program Files\VisionNet文件夹,C:\Windows下的visionnet.dll、windcheck2.exe、NMWizardA14.exe, C:\WINDOWS\Prefetch下的VISIONNET.DLL-*****.pf,C:\下面的vml文件夹;; P: ]0 ]* T1 s- z5 j
·开注册表,搜索所有visionnet、windcheck2、nmwizarda14、17lele关键字,将搜索结果全部删除;
0 T: e) G+ s- g0 F2 ]" o4 L ·重新启动计算机。9 D0 ?3 E4 x# l
此外需要特别提醒大家的是:卸载Net Transport并不能卸载其带来的广告程序,仍然需要上面的步骤完成卸载。上面是笔者的尝试,如果有疏漏的地方,还请大家指出。 |
/1 
粤公网安备44152102000001号 
发表于 2004-12-21 15:45:31