警惕！新版Net Transport安装有猫腻(转贴）

wily

    一、无意中发现“猫腻”
    下载前，笔者先看了一下Net Transport官方站点的更新日志：
1 ^% d( p' C" b. f6 a, E   
/ O/ q% ]9 \) ~: L4 t Net Transport 1.93 (2004.10.19)
2 ^7 h) J/ M* H    同时发布 "FTP 传送带"，FTP客户工具
. k3 }5 k2 L& ]2 u9 z9 T    一些小错误的改正
, k' q2 ^/ G/ L( B    可以选择发送或不发送GUID给RealServer
    修正HTTP在接收数据时，在某些情况下会错误当作LIVE来处理
    原来新版本中增加了一个FTP客户端，看看注册价格并未发生变化，看来作者真是对用户“负责”，不过安装文件比前一个版本大了不少，达到了2.12MB。
    安装后起初笔者并没有发现任何异常，后来却无意中在查看进程管理器时发现了一个名为“visionnet.dll”的进程，而且其占用的内存资源居然有27956KB！
    笔者的第一反应是——中病毒了！于是首先用自己的Kaspersky Anti-Virus Personal 5.0+最新病毒库对磁盘进行扫描，但并未发现病毒。于是笔者准备手动来找找这个名为“visionnet.dll”的东西，打开资源管理器，正准备搜索的时候，突然发现C:\Program Files\VisionNet文件夹。
    再到敏感文件夹——C:\Windows目录中查看，居然又发现了一个不速之客：windcheck2.exe！
+ G7 v; D- {+ ]6 w( w    笔者再回过头来查看C:\Program Files\VisionNet文件夹，发现里面里面有个17lele.exe，抱着试试看的态度（反正我已经对系统进行了Ghost），笔者双击运行了它，结果弹出一个名为“新派休闲娱乐”的安装窗口，窗口中居然没有提供“取消”安装的按钮！无奈笔者只有将其安装，安装后发现原来是一个类似联众的游戏客户端。
7 p4 d* d" e7 D1 J    接下来笔者重新启动计算机，没有运行任何程序，运行“msconfig”检查启动项发现多了三个——一个无名的、Rundll32、17lele，他们都指向“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\winlogon”分支。
* R% z9 o$ j# M; G% A    再打开任务管理器，发现已经有两个可疑进程在运行，分别为：rundll32.exe（有两个rundll32.exe进程，其中一个为正常进程）、17lele.ex_。
+ U! [7 Y  U2 [9 V) a8 A0 N/ L    至此，我们已经彻底认清了它的真面目——附加在Net Transport中安装的广告程序，而且手段极其恶劣，安装程序中对此毫无提示，软件的更新日志上也没有给出任何说明！不过笔者在企图卸载这个广告程序的时候更是费了一番工夫。

$ s9 q! H" C" ^' ]2 Y    二、卸载是个大问题
    接下来笔者察看了开始菜单，并没有发现安装后的“新派休闲娱乐”程序，再到控制面板中企图卸载它，同样没有发现它的身影！
    该不是卸载程序在它的安装文件夹里吧？笔者打开C:\Program Files\VisionNet文件夹，找了半天也没有找到！看来这个东西简直跟木马病毒没什么两样了。
8 F; @" c% x( A! e2 w" f    最后笔者经过搜索、仔细察看，终于搜集齐全（也许还有遗漏）了这个程序的所有文件。
/ Z+ L  B: X$ Q) w% S) j    如果你已经安装了Net Transport的1.93版本，那么请安装下列操作来清楚广告程序：
    ·任务管理器中结束visionnet.dll、17lele.ex_进程；
    ·行MSconfig，取消勾选空白名启动项、Rundll32、17lele三项；
9 \3 \, z% l# c) N. i    ·除C:\Program Files\VisionNet文件夹，C:\Windows下的visionnet.dll、windcheck2.exe、NMWizardA14.exe， C:\WINDOWS\Prefetch下的VISIONNET.DLL-*****.pf，C:\下面的vml文件夹；
4 d5 g) J1 b; t; e9 n2 g    ·开注册表，搜索所有visionnet、windcheck2、nmwizarda14、17lele关键字，将搜索结果全部删除；
' k; G) @0 A: a4 n7 @  ~    ·重新启动计算机。
7 X! O; z% H, a3 @+ i9 X7 Y$ w3 W6 I    此外需要特别提醒大家的是：卸载Net Transport并不能卸载其带来的广告程序，仍然需要上面的步骤完成卸载。上面是笔者的尝试，如果有疏漏的地方，还请大家指出。

wily

我也中了，开始纳闷，到网上看看才知道如此卑劣！！
一直支持net transport
其中也提出建议和发现的bug
想不道………………
真tmd无耻！！

fly0810

抵制net transport

hezhizhong

现在开始全力声讨“影音传送带”

yanglingtao

“卫星网络电视”中也有这种病毒！当心！！以后最好少装共享软件！

小Eyich85

哦!还有这个啊!!还好我不用它!