一、无意中发现“猫腻”: o% j0 B* o, j* a) x2 J/ U
下载前,笔者先看了一下Net Transport官方站点的更新日志:$ C# M( z" `9 D+ w% N7 `8 Z& J% ^) N
F% ~' `5 V% R! ]' |0 k& s
Net Transport 1.93 (2004.10.19)
! s+ ?0 r8 ~& G- { 同时发布 "FTP 传送带",FTP客户工具 * e. a8 }/ V9 [0 E5 _
一些小错误的改正 * s S' D5 ?: ?% G0 l- x+ f
可以选择发送或不发送GUID给RealServer 0 l: \* \! v8 J, G
修正HTTP在接收数据时,在某些情况下会错误当作LIVE来处理8 `* N4 A- d; O$ r& c2 c1 ^
原来新版本中增加了一个FTP客户端,看看注册价格并未发生变化,看来作者真是对用户“负责”,不过安装文件比前一个版本大了不少,达到了2.12MB。
9 q5 w0 |, V" \8 G 安装后起初笔者并没有发现任何异常,后来却无意中在查看进程管理器时发现了一个名为“visionnet.dll”的进程,而且其占用的内存资源居然有27956KB!
# d! c6 F+ A6 g- J2 p' ^0 | s 笔者的第一反应是——中病毒了!于是首先用自己的Kaspersky Anti-Virus Personal 5.0+最新病毒库对磁盘进行扫描,但并未发现病毒。于是笔者准备手动来找找这个名为“visionnet.dll”的东西,打开资源管理器,正准备搜索的时候,突然发现C:\Program Files\VisionNet文件夹。
; h& o) \. ?6 n% f8 s 再到敏感文件夹——C:\Windows目录中查看,居然又发现了一个不速之客:windcheck2.exe!" q5 @9 c8 D. V( h8 d
笔者再回过头来查看C:\Program Files\VisionNet文件夹,发现里面里面有个17lele.exe,抱着试试看的态度(反正我已经对系统进行了Ghost),笔者双击运行了它,结果弹出一个名为“新派休闲娱乐”的安装窗口,窗口中居然没有提供“取消”安装的按钮!无奈笔者只有将其安装,安装后发现原来是一个类似联众的游戏客户端。- }9 z$ b, V: f. X* q
接下来笔者重新启动计算机,没有运行任何程序,运行“msconfig”检查启动项发现多了三个——一个无名的、Rundll32、17lele,他们都指向“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\winlogon”分支。
6 g0 y# G* _& i8 J, v 再打开任务管理器,发现已经有两个可疑进程在运行,分别为:rundll32.exe(有两个rundll32.exe进程,其中一个为正常进程)、17lele.ex_。
" T& P3 J9 X- H- V1 p$ C 至此,我们已经彻底认清了它的真面目——附加在Net Transport中安装的广告程序,而且手段极其恶劣,安装程序中对此毫无提示,软件的更新日志上也没有给出任何说明!不过笔者在企图卸载这个广告程序的时候更是费了一番工夫。$ p, H1 W8 f$ }: O+ B8 b( P& y
/ l/ I6 `$ Q3 C( D5 }( p+ u2 I7 G
二、卸载是个大问题# ^ n/ G* E: Q# ^
接下来笔者察看了开始菜单,并没有发现安装后的“新派休闲娱乐”程序,再到控制面板中企图卸载它,同样没有发现它的身影!9 v& |3 [+ e9 u, Z/ x& c+ i
该不是卸载程序在它的安装文件夹里吧?笔者打开C:\Program Files\VisionNet文件夹,找了半天也没有找到!看来这个东西简直跟木马病毒没什么两样了。
/ C* d* T7 t7 v 最后笔者经过搜索、仔细察看,终于搜集齐全(也许还有遗漏)了这个程序的所有文件。
T5 z5 ]2 E4 o, K1 _- `9 o: {; e2 S4 k 如果你已经安装了Net Transport的1.93版本,那么请安装下列操作来清楚广告程序:
b) H I C( m) a ·任务管理器中结束visionnet.dll、17lele.ex_进程;
9 y0 x8 ]" |, h o5 w# I ·行MSconfig,取消勾选空白名启动项、Rundll32、17lele三项;% V+ h; c6 ?& @, a! |" S1 f
·除C:\Program Files\VisionNet文件夹,C:\Windows下的visionnet.dll、windcheck2.exe、NMWizardA14.exe, C:\WINDOWS\Prefetch下的VISIONNET.DLL-*****.pf,C:\下面的vml文件夹;0 \/ N& j# k3 u8 _7 _- G. d3 }
·开注册表,搜索所有visionnet、windcheck2、nmwizarda14、17lele关键字,将搜索结果全部删除;
2 _2 u2 X6 B8 c- f5 O U! T ·重新启动计算机。0 W) n; j- {, u- p
此外需要特别提醒大家的是:卸载Net Transport并不能卸载其带来的广告程序,仍然需要上面的步骤完成卸载。上面是笔者的尝试,如果有疏漏的地方,还请大家指出。 |
/1 
粤公网安备44152102000001号 
发表于 2004-12-21 15:45:31