查看: 7193|回复: 5

警惕!新版Net Transport安装有猫腻(转贴)

[复制链接]
发表于 2004-12-21 15:45:31 | 显示全部楼层 |阅读模式
    一、无意中发现“猫腻”
' f+ R* S# ^6 ]& I9 {, q    下载前,笔者先看了一下Net Transport官方站点的更新日志:( T/ N# O+ z( p1 r( A
   
% a* ]. u- Z) i0 U! L+ h) @0 z Net Transport 1.93 (2004.10.19)
4 ~  u* O0 [7 ~2 X) J4 `6 D6 G    同时发布 "FTP 传送带",FTP客户工具 " _7 O! A, b8 j$ ]6 Y. L
    一些小错误的改正 # B- w1 l5 F9 [$ {" S
    可以选择发送或不发送GUID给RealServer
  i9 y5 S+ B- @    修正HTTP在接收数据时,在某些情况下会错误当作LIVE来处理1 I5 x, c( H3 y) x
    原来新版本中增加了一个FTP客户端,看看注册价格并未发生变化,看来作者真是对用户“负责”,不过安装文件比前一个版本大了不少,达到了2.12MB。
0 O1 o2 Y/ q" W" K  k1 T- ~: S; l    安装后起初笔者并没有发现任何异常,后来却无意中在查看进程管理器时发现了一个名为“visionnet.dll”的进程,而且其占用的内存资源居然有27956KB!- E- O8 V+ r8 z0 s# T& {1 Q" o4 ?
    笔者的第一反应是——中病毒了!于是首先用自己的Kaspersky Anti-Virus Personal 5.0+最新病毒库对磁盘进行扫描,但并未发现病毒。于是笔者准备手动来找找这个名为“visionnet.dll”的东西,打开资源管理器,正准备搜索的时候,突然发现C:\Program Files\VisionNet文件夹。; l" G( r, `* k
    再到敏感文件夹——C:\Windows目录中查看,居然又发现了一个不速之客:windcheck2.exe!* g: Q9 t8 ?& ^2 W, x' o" I2 c
    笔者再回过头来查看C:\Program Files\VisionNet文件夹,发现里面里面有个17lele.exe,抱着试试看的态度(反正我已经对系统进行了Ghost),笔者双击运行了它,结果弹出一个名为“新派休闲娱乐”的安装窗口,窗口中居然没有提供“取消”安装的按钮!无奈笔者只有将其安装,安装后发现原来是一个类似联众的游戏客户端。
. L( Q7 S; A$ p. ?/ W7 Z/ C  h! N    接下来笔者重新启动计算机,没有运行任何程序,运行“msconfig”检查启动项发现多了三个——一个无名的、Rundll32、17lele,他们都指向“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\winlogon”分支。
8 u5 r0 V' K7 q4 a- v    再打开任务管理器,发现已经有两个可疑进程在运行,分别为:rundll32.exe(有两个rundll32.exe进程,其中一个为正常进程)、17lele.ex_。! ~4 p. e4 E& D; w: x7 M: s8 ]: ]
    至此,我们已经彻底认清了它的真面目——附加在Net Transport中安装的广告程序,而且手段极其恶劣,安装程序中对此毫无提示,软件的更新日志上也没有给出任何说明!不过笔者在企图卸载这个广告程序的时候更是费了一番工夫。4 [; d" t) T( I9 `1 F0 H+ S

3 M9 S9 H5 L. {5 m8 P    二、卸载是个大问题; ]7 G: f; K1 i6 a3 o
    接下来笔者察看了开始菜单,并没有发现安装后的“新派休闲娱乐”程序,再到控制面板中企图卸载它,同样没有发现它的身影!0 T! H" J- y- A, c
    该不是卸载程序在它的安装文件夹里吧?笔者打开C:\Program Files\VisionNet文件夹,找了半天也没有找到!看来这个东西简直跟木马病毒没什么两样了。
. I4 E" P1 T0 `) g7 T6 o6 Y) h: V; l    最后笔者经过搜索、仔细察看,终于搜集齐全(也许还有遗漏)了这个程序的所有文件。
9 X& O! m6 C3 I8 G- A( c: C8 O! r    如果你已经安装了Net Transport的1.93版本,那么请安装下列操作来清楚广告程序:
5 {; C0 N8 x, p    ·任务管理器中结束visionnet.dll、17lele.ex_进程;/ G$ N& }. U  E: k
    ·行MSconfig,取消勾选空白名启动项、Rundll32、17lele三项;( F0 M4 q) M# E2 J% u
    ·除C:\Program Files\VisionNet文件夹,C:\Windows下的visionnet.dll、windcheck2.exe、NMWizardA14.exe, C:\WINDOWS\Prefetch下的VISIONNET.DLL-*****.pf,C:\下面的vml文件夹;. f! |" L5 f* C# {" t0 R
    ·开注册表,搜索所有visionnet、windcheck2、nmwizarda14、17lele关键字,将搜索结果全部删除;
. j: p# v& F" o" u) |8 b: O    ·重新启动计算机。
$ K' Q% s* a% b& Q; g& y9 I+ z6 ]    此外需要特别提醒大家的是:卸载Net Transport并不能卸载其带来的广告程序,仍然需要上面的步骤完成卸载。上面是笔者的尝试,如果有疏漏的地方,还请大家指出。
 楼主| 发表于 2004-12-21 15:48:19 | 显示全部楼层

警惕!新版Net Transport安装有猫腻(转贴)

我也中了,开始纳闷,到网上看看才知道如此卑劣!!
9 [# f& e7 w, m3 t& `5 N' \  W; k  n一直支持net transport/ \  S5 H, d. X; |
其中也提出建议和发现的bug9 z- p0 n7 E( {& F, j; C. L/ q  ], S
想不道………………5 F: Q8 C/ k, B! v5 L- u3 {
真tmd无耻!!
发表于 2004-12-21 17:57:09 | 显示全部楼层

警惕!新版Net Transport安装有猫腻(转贴)

抵制net transport
发表于 2004-12-21 18:49:39 | 显示全部楼层

警惕!新版Net Transport安装有猫腻(转贴)

现在开始全力声讨“影音传送带”
发表于 2004-12-23 22:19:02 | 显示全部楼层

警惕!新版Net Transport安装有猫腻(转贴)

“卫星网络电视”中也有这种病毒!当心!!以后最好少装共享软件!
发表于 2004-12-27 13:04:37 | 显示全部楼层

警惕!新版Net Transport安装有猫腻(转贴)

哦!还有这个啊!!还好我不用它!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

相关侵权、举报、投诉及建议等,请发 E-mail:yesdong@qq.com

Powered by Discuz! X5.0 Licensed © 2001-2026 Discuz! Team.44152102000001

在本版发帖QQ客服返回顶部