一、无意中发现“猫腻”
! l8 Y9 l1 w ?' Y 下载前,笔者先看了一下Net Transport官方站点的更新日志:
6 G) m: {" U g) ?) g- {
$ g$ X/ K* m1 y4 [ Net Transport 1.93 (2004.10.19)) P. Y" Q' d& \
同时发布 "FTP 传送带",FTP客户工具 5 G0 z( T2 M$ \2 \8 U
一些小错误的改正
3 x+ \# v1 r- @6 D: M3 |6 P 可以选择发送或不发送GUID给RealServer & f$ V+ r* x. M+ M9 g# H
修正HTTP在接收数据时,在某些情况下会错误当作LIVE来处理) ^0 X* T& F9 n4 F" X$ b
原来新版本中增加了一个FTP客户端,看看注册价格并未发生变化,看来作者真是对用户“负责”,不过安装文件比前一个版本大了不少,达到了2.12MB。# R* ~. k2 t K/ S& M" O. r
安装后起初笔者并没有发现任何异常,后来却无意中在查看进程管理器时发现了一个名为“visionnet.dll”的进程,而且其占用的内存资源居然有27956KB!
% ]+ M S4 f& {! }, s( y 笔者的第一反应是——中病毒了!于是首先用自己的Kaspersky Anti-Virus Personal 5.0+最新病毒库对磁盘进行扫描,但并未发现病毒。于是笔者准备手动来找找这个名为“visionnet.dll”的东西,打开资源管理器,正准备搜索的时候,突然发现C:\Program Files\VisionNet文件夹。
6 W- o6 I. Y- C0 r# J# e1 w 再到敏感文件夹——C:\Windows目录中查看,居然又发现了一个不速之客:windcheck2.exe!/ x# U7 j( |3 e8 d7 c+ u
笔者再回过头来查看C:\Program Files\VisionNet文件夹,发现里面里面有个17lele.exe,抱着试试看的态度(反正我已经对系统进行了Ghost),笔者双击运行了它,结果弹出一个名为“新派休闲娱乐”的安装窗口,窗口中居然没有提供“取消”安装的按钮!无奈笔者只有将其安装,安装后发现原来是一个类似联众的游戏客户端。
& |; O$ j0 Z! w: a- l( F- | 接下来笔者重新启动计算机,没有运行任何程序,运行“msconfig”检查启动项发现多了三个——一个无名的、Rundll32、17lele,他们都指向“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\winlogon”分支。
( J$ ~, L8 f) d8 x5 Z+ }& j 再打开任务管理器,发现已经有两个可疑进程在运行,分别为:rundll32.exe(有两个rundll32.exe进程,其中一个为正常进程)、17lele.ex_。
: U0 P( m0 B* W& o 至此,我们已经彻底认清了它的真面目——附加在Net Transport中安装的广告程序,而且手段极其恶劣,安装程序中对此毫无提示,软件的更新日志上也没有给出任何说明!不过笔者在企图卸载这个广告程序的时候更是费了一番工夫。
' c5 H. u3 R# s8 V1 i* M
3 ]5 Q6 s! I* X% E! z/ C 二、卸载是个大问题
7 B7 H. u! [; g1 d$ k' S% [ 接下来笔者察看了开始菜单,并没有发现安装后的“新派休闲娱乐”程序,再到控制面板中企图卸载它,同样没有发现它的身影!
, n0 |1 a, |+ m1 }+ b 该不是卸载程序在它的安装文件夹里吧?笔者打开C:\Program Files\VisionNet文件夹,找了半天也没有找到!看来这个东西简直跟木马病毒没什么两样了。
k, V0 J% [# V 最后笔者经过搜索、仔细察看,终于搜集齐全(也许还有遗漏)了这个程序的所有文件。
; a2 e; t, D2 K% w2 G" g& Z 如果你已经安装了Net Transport的1.93版本,那么请安装下列操作来清楚广告程序:
6 o5 c) Z. W# Y ·任务管理器中结束visionnet.dll、17lele.ex_进程;
. B5 m+ [7 e1 d% x+ A8 Y3 `$ v ·行MSconfig,取消勾选空白名启动项、Rundll32、17lele三项;+ t9 D2 n' }4 i5 L+ M" h
·除C:\Program Files\VisionNet文件夹,C:\Windows下的visionnet.dll、windcheck2.exe、NMWizardA14.exe, C:\WINDOWS\Prefetch下的VISIONNET.DLL-*****.pf,C:\下面的vml文件夹;& C8 K- \/ l' J' D2 ?) ] c6 n
·开注册表,搜索所有visionnet、windcheck2、nmwizarda14、17lele关键字,将搜索结果全部删除;
/ _3 g; X! Z! S& g0 P ·重新启动计算机。/ e2 z; k+ q$ B9 |: l/ S U
此外需要特别提醒大家的是:卸载Net Transport并不能卸载其带来的广告程序,仍然需要上面的步骤完成卸载。上面是笔者的尝试,如果有疏漏的地方,还请大家指出。 |
粤公网安备44152102000001号 
发表于 2004-12-21 15:45:31