瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【转贴】全面剖析3721及上网助手(发布者:合肥工业大学imxk)

12345678»   4  /  30  页   跳转

【转贴】全面剖析3721及上网助手(发布者:合肥工业大学imxk)

收藏
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 20:04 | 只看楼主 短消息 资料
字号: 31楼

四、3721及上网助手卸载情况剖析
有人在网卡撰文说3721现在可以通过其卸载程序干净地卸载了。事实情况真的是这样吗?请看——
1、“完全删除”和“完全卸载”的卸载承诺
如图,无论3721网络实名还是上网助手,在卸载程序中都承诺“把上网助手从电脑中完全删除”和“完全卸载实名插件并关闭实名功能”。

卸载界面的承诺

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 20:04:21
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 20:05 | 只看楼主 短消息 资料
字号: 32楼

2、完全卸载不完全

网络实名卸载成功并重启后,在资源管理器中无法看到WindowsDownloaded Program Files文件夹中有任何文件(即使你将资源管理器设置为显示所有文件、显示系统文件)。但使用著名的Total Commander文件管理器,却发现有一个zsmod.dll的隐藏文件!


3721卸载重启后资源管理器无法看到的隐藏文件

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 20:05:23
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 20:06 | 只看楼主 短消息 资料
字号: 33楼

如果是卸载上网助手,卸载成功并重启后,上述目录居然隐藏有30个文件1个文件夹!

上网助手卸载重启后系统目录中隐藏的大量文件(Windows资源管理器无法以任何方式查看到,Total Commander可显示)

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 20:06:30
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 20:07 | 只看楼主 短消息 资料
字号: 34楼

以zsmod.dll为关键字在注册表编辑器中搜索,可以发现这个文件并非是一个被“遗忘”的死文件,而是有相应的注册表键值!

卸载重启后注册表中的保留键值

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 20:07:27
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 20:08 | 只看楼主 短消息 资料
字号: 35楼

卸载上网助手成功并重启后,检测BHO(浏览器帮助对象),发现系统中仍然保留有YDT.DLL和CnsHook.dll这两个BHO对象!

卸载重启后仍然被保留的浏览器帮助对象模块:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 20:08:34
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 20:09 | 只看楼主 短消息 资料
字号: 36楼

卸载上网助手成功并重启后,检测自动加载项目,发现仍然存在helper.dll、YDTMain.exe、CnsMin三个自动加载的程序项目!

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 20:09:24
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 20:10 | 只看楼主 短消息 资料
字号: 37楼

再检测系统已经加载的内核模块,发现以驱动形式加载的CnsMinKP.sys仍然被成功加载!

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 20:10:07
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 20:11 | 只看楼主 短消息 资料
字号: 38楼

以CnsMinKP.sys在注册表编辑器中搜索,卸载成功并重启后注册表中仍然保留CnsMinKP.sys的3处隐藏服务键值(图),使得卸载操作完全是一个骗局,其基本功能根本没有受到影响,至多是那个一般情况下显示在系统托盘的可以向用户提供“服务”的小图标不见了!当然,系统Drivers目录中的CnsMinKP.sys文件依然完好,没有受到任何破坏!

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 20:11:05
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 20:11 | 只看楼主 短消息 资料
字号: 39楼

看看系统进程如何。如图,YDTMain.exe、相互守护的Rundll32.exe共3个进程仍然静静地在那儿!

由此可见,上述就是所谓的“把上网助手从电脑中完全删除”的真相!

真的想把它们彻底清除吗?可以,手工在添加删除程序列表中把另外未被告知的两个3721强行安装的程序一一卸载(卸载时注意看清楚相关选项!否则可能又相互修复),此时绝大多数文件和注册表被清除。但WindowsDownloaded Program Files文件夹中zsmod.dll的隐藏文件以及相关的注册表键值却永远不会被清除!

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 20:11:53
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 20:12 | 只看楼主 短消息 资料
字号: 40楼

3、额外安装的两个模块必须另行卸载


图就是安装时未被明确告知就强行安装的、需要我们手工卸载的垃圾程序。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 20:12:28
描述:
gototop
 
<<上一主题|下一主题>>
12345678»   4  /  30  页   跳转
页面顶部
Powered by Discuz!NT