一、无意中发现“猫腻”, |, g( A" D" A$ |. @
下载前,笔者先看了一下Net Transport官方站点的更新日志:" F1 u. A5 J3 ]) F) }. ?
- K5 c2 ^0 D& i* V) c( Z, g
Net Transport 1.93 (2004.10.19)
. o& V: W2 v( E$ I/ o% t 同时发布 "FTP 传送带",FTP客户工具
7 _: [& v+ G) V1 W! z 一些小错误的改正 ) m0 D: ~! P1 ]/ z5 [
可以选择发送或不发送GUID给RealServer ' Z5 D4 I* Y) A6 v3 M8 J
修正HTTP在接收数据时,在某些情况下会错误当作LIVE来处理
/ ?# U1 N. {! b# E" ~2 s 原来新版本中增加了一个FTP客户端,看看注册价格并未发生变化,看来作者真是对用户“负责”,不过安装文件比前一个版本大了不少,达到了2.12MB。
; v# y+ E# T4 [2 Y* d6 q 安装后起初笔者并没有发现任何异常,后来却无意中在查看进程管理器时发现了一个名为“visionnet.dll”的进程,而且其占用的内存资源居然有27956KB!5 J, t- Q# T9 G
笔者的第一反应是——中病毒了!于是首先用自己的Kaspersky Anti-Virus Personal 5.0+最新病毒库对磁盘进行扫描,但并未发现病毒。于是笔者准备手动来找找这个名为“visionnet.dll”的东西,打开资源管理器,正准备搜索的时候,突然发现C:\Program Files\VisionNet文件夹。! c) S m3 u" U8 t- f8 w* F/ D# _
再到敏感文件夹——C:\Windows目录中查看,居然又发现了一个不速之客:windcheck2.exe! `; _2 z! \% h9 X8 f
笔者再回过头来查看C:\Program Files\VisionNet文件夹,发现里面里面有个17lele.exe,抱着试试看的态度(反正我已经对系统进行了Ghost),笔者双击运行了它,结果弹出一个名为“新派休闲娱乐”的安装窗口,窗口中居然没有提供“取消”安装的按钮!无奈笔者只有将其安装,安装后发现原来是一个类似联众的游戏客户端。
$ B* s u1 L9 ~ ] 接下来笔者重新启动计算机,没有运行任何程序,运行“msconfig”检查启动项发现多了三个——一个无名的、Rundll32、17lele,他们都指向“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\winlogon”分支。7 C. Y8 B# c! |; @9 }% L, O2 z
再打开任务管理器,发现已经有两个可疑进程在运行,分别为:rundll32.exe(有两个rundll32.exe进程,其中一个为正常进程)、17lele.ex_。
& S7 O/ d6 d" z4 `0 I* B 至此,我们已经彻底认清了它的真面目——附加在Net Transport中安装的广告程序,而且手段极其恶劣,安装程序中对此毫无提示,软件的更新日志上也没有给出任何说明!不过笔者在企图卸载这个广告程序的时候更是费了一番工夫。9 a- P/ V" N; {9 Y2 R; O9 B
* @; P# M7 ~" q; ~1 U: [7 d; S
二、卸载是个大问题
7 j2 r& Q" {* i6 [, [ 接下来笔者察看了开始菜单,并没有发现安装后的“新派休闲娱乐”程序,再到控制面板中企图卸载它,同样没有发现它的身影!
; Q5 \& S# |! H1 `# k1 F 该不是卸载程序在它的安装文件夹里吧?笔者打开C:\Program Files\VisionNet文件夹,找了半天也没有找到!看来这个东西简直跟木马病毒没什么两样了。
+ G, C- e" Q* b3 {; | 最后笔者经过搜索、仔细察看,终于搜集齐全(也许还有遗漏)了这个程序的所有文件。2 t" a6 H! C% P' K6 ^) B3 R" { X
如果你已经安装了Net Transport的1.93版本,那么请安装下列操作来清楚广告程序:
l0 _- R. ~ `6 ^' E. Q ·任务管理器中结束visionnet.dll、17lele.ex_进程;/ I9 q9 D9 [/ X8 q
·行MSconfig,取消勾选空白名启动项、Rundll32、17lele三项;
# f) M7 Y. G% [- G2 V9 i7 \ ·除C:\Program Files\VisionNet文件夹,C:\Windows下的visionnet.dll、windcheck2.exe、NMWizardA14.exe, C:\WINDOWS\Prefetch下的VISIONNET.DLL-*****.pf,C:\下面的vml文件夹;
- v' a* l4 A$ S. I5 ~2 Y7 F C! e# P ·开注册表,搜索所有visionnet、windcheck2、nmwizarda14、17lele关键字,将搜索结果全部删除;
9 K5 }2 N. O |! |5 t ·重新启动计算机。
" K, U7 f- P( X( n 此外需要特别提醒大家的是:卸载Net Transport并不能卸载其带来的广告程序,仍然需要上面的步骤完成卸载。上面是笔者的尝试,如果有疏漏的地方,还请大家指出。 |
/1 
|Archiver|小黑屋|宽带技术网
|网站地图 
粤公网安备44152102000001号 
发表于 2004-12-21 15:45:31