常見惡意及廣告軟體 資訊及解決

2006100510:49

 

小精靈語法

<p align="center"><embed src="http://www.myfreearcade.com/games/splatman.swf "width="600" height="500"></embed></p>

一些常見的廣告 / 惡意軟體 都在文章下半
可以看看自己有無這類困擾

首先先提供一則新聞.......對 "流氓軟體" 的認知

流氓軟體是指具有一定的實用價值但具備電腦病毒和黑客軟體的部分特徵的軟體;它處在合法軟體和電腦病毒之間的灰色地帶,同樣極大地侵害著電腦用戶的權益。廣大網友一直深受其害,對之深惡痛絕。

 

  不久前,北京網絡行業協會發起了一次關於流氓軟體網絡調查,大量網友踴躍參加。流氓軟體名單具體名單如下:

  對於這些流氓軟體,它們的最大共同特徵是強制安裝,相信網友們的電腦現在或者曾經都有被強行至少安裝過其中一種。除了共有的特性,這幾種流氓軟體還各有特點,下面我們一起來看看它們到底怎樣耍流氓的,提醒您平時多注意。

 

  一、眾矢之地——3721

  3721的上網助手、地址欄搜索及網絡實名可謂是老牌的流氓軟體了,它存在的問題最多,也是網絡上網友罵聲最多的,理所當然地名列榜首。
經常在網上衝浪興致正高時,電腦突然一陣慢如蝸牛,十有八九是因為要彈出3721的安裝對話框。他經常不知不覺的潛入電腦,添加用戶不需要的按鈕、IE工具條、在地址菜單項中添加非法內容,還修改註冊表設置開機自動啟動。


此外,它經常集成在其它小工具軟體的安裝程序中,特別是那些網上下載的漢化軟體、破解軟體。不經意間,它就被悄悄植入了你的電腦。更令人深惡痛絕的是它還干擾其他軟體運行,並且無法徹底卸載。筆者在使用其「進行診斷」功能時,就要求卸載其他公司的軟體才可使用(如圖1)。不可否認,3721的上網助手的確有不錯的功能,特別對於菜鳥非常實用,但是其不正確的推廣方式卻使得其效果適得其反,為千萬網友所指!

 

  二、廣告漫天——淘寶網

  雖然淘寶網不是軟體,但是它無處不在的廣告嚴重影響網友正常上網,因此還是被揪了出來,還名列第二,真是所謂群眾眼睛是雪亮的啊!雖然有錢燒,在一些網站安放了代碼,使得其廣告無孔不入,但是也得考慮網友的感受啊!別人上網上得好好的,卻突然彈出個巨大無比的廣告,嚴重影響到網友正常的瀏覽,當然會使網友心情不快啦!商家為賺錢作廣告天經地義,但是也不能為所欲為,網友是顧客,多少也得給上帝面子吧?

 

  三、不甘落後——ebay易趣

  競爭對手淘寶網名列第二,有ebay撐腰的易趣當然也不甘示弱,緊隨其後名列第三!雖然排名在淘寶之後,但是其流氓行為卻絲毫不遜色於淘寶網。易趣的流氓行為和3721類似,它會強制安裝其「易趣工具欄」、劫持瀏覽器(自動在ie中添加按鈕、菜單或者工具條,如圖2),並且無法卸載。

 

  四、與眾不同——Dudu下載加速器

  之所以說其與眾不同,在於其一些流氓行為和常規的流氓軟體行為有些不同,並且相比以上幾款,筆者認為實在是有過之而無不及。

  它通過虛假廣告誘導用戶安裝廣告程序,其所謂的「瀏覽(下載)速度加快5倍」,許多網友都反應並沒有多少效果。比虛假廣告更嚴重的是,它還強行更改IE的下載界面(如圖3)。筆者下載一些不大的軟體時都是使用IE直接下載,被Dudu下載加速器改成這樣嚴重影響筆者的使用習慣。在傳播方式上,Dudu下載加速器還採用了特別的方式,通過在其他共享軟體上捆綁,未經用戶許可就暗地裡安裝。筆者認為Dudu下載加速器和接受捆綁並且未提醒用戶是否安裝的其他共享軟體的行為都是十分可恥的!

 

 五、影響上網——中文上網(網路實名)

  和3721一樣,中文上網也是經常在瀏覽網頁時彈出安裝對話框的常客。叫著「中國互聯網絡信息中心」如此響亮的名稱,卻幹著這種勾當實在有愧其名,不僅強制安裝,而且還無法徹底卸載。

  很多網友都有這樣的軟體,被強制安裝中文上網後,輸入一級域名尚可以正常使用,但是輸入二級域名,例如:soft.yesky.com等,頁面就經常會轉到關鍵字通用網址自己的搜索結果頁上。

  為推廣中文網址是好事,但是如果真是好東西,網友自然會選擇,又何必強求呢?CNNIC擔當了中國互聯網管理者的職能,卻隨意參與經營和創收,這和現在大力提倡的政企分開的現代企業制度似乎背道而馳啊!拿著管理權謀取利益的做法永遠是要被唾棄的!

 

  六、名不經轉——青娛樂軟體

  不知什麼時候,經常會在開始菜單中莫名其妙多了一項從未聽說的「青娛樂」。根據筆者觀察,其經常採用的是捆綁在其他共享軟體中,強行安裝,這樣的行為和Dudu下載加速器一樣,一樣可恥,而且對於筆者來說絲毫沒有用處!

 

  七、居心叵測——很棒小秘書

  對於這款軟體大家可能不太熟悉,它的流氓罪狀是強制安裝和無法徹底御載。很棒小秘書提供了搜索、使用郵箱、下載音樂、電影、交友、遊戲等、實事新聞等內容;同時很棒小秘書吸引用戶參與行為互動,並根據用戶的上網行為和喜好發送企業的產品廣告,這一點其實是筆者最擔心的,它不僅是款不折不扣的流氓軟體,同時有間諜軟體的嫌疑,使用這款軟體似乎要注意一下隱私。

 

  八、橫行霸道——百度超級搜霸

  百度超級搜霸,強制安裝在用戶電腦上,它通常手法是捆綁在其他軟體中安裝,被列為十大流氓軟體一點也不委屈。

 

  九、令人費解——Yahoo cn 搜工具條

  和百度一樣,一搜的問題也是強制安裝。作為國際網絡巨頭,雅虎居然也搞這套,實在令人費解。還是奉勸雅虎先把這個一搜做得完善一些,再考慮其他事情吧!Google就是你學習的榜樣!

 

  十、屈居第十——網絡豬、劃詞搜索

  中搜在線的網絡豬、劃詞搜索居然只排在第十,這多少有些出乎筆者的意料。依其「實力」,要進前五都不是沒有道理的。大家對這樣的情況應該不會陌生:在網頁上選中了一些內容後,出現一排礙眼的按鈕(如圖4),這就是劃詞搜索干的!它的問題在於強制安裝和無法徹底卸載,這是筆者比較經常碰到的流氓軟體了,而僅僅第十的位置實在是有點委屈了!

 

  以上我們細數了十大流氓軟體的罪狀,大家一定都對它們討厭至極吧?大家一起團結起來,抵制流氓軟體,對於抵制措施可以有以下幾種:不要隨便下載不熟悉的軟體、謹慎使用共享軟體、不登陸不良網站、安裝軟體時應仔細閱讀軟體附帶的用戶協議及使用說明、使用IE插件屏蔽等軟體屏蔽、採用其他專用軟體。
  在用戶抵制預防的同時,更重要的是必須從源頭上來整治,各軟體、網站廠商應該尊重用戶的安全和權益,遵守起碼的職業道德,遵守軟體編寫規範,阻止軟體產品的不規範發佈和傳播,只有這樣才能取得用戶的信任與好評。

-----------------------------------------------------------------------------------------------

上對岸網站及使用軟體時要特別注意喔
這類軟體通常無法以正規方式刪除
但可以利用精華文章的HijackThis 刪除關聯
再手動刪除主體檔案即可
若有這類問題的........不妨可以貼上Log
一起討論解決方法

以下提供一些常見惡意軟體的卸除或資訊
(若無提到解除方式則代表到新增移除中移除即可)


暴風影音

在他們官網就有提到了........
"為維持營運 所以加入第三方套件"
主要的spy是裡面綑綁的程式


accoona

就像一般常見的AD-Toolbar/search bar
在一些外國破解網站 A網 下載站 常常就可以黏上來
但在臺灣好像沒這麼泛濫
倒是像 180search 和 Zango 比較常見

注意喔Zango 會盜取你的G-mail 來發垃圾......很惡質


[百度特搜mp3 移除]

※  千千靜聽部分版本內有綑綁此程式 注意

方法一 :您可以把滑鼠的游標移至..百度搜尋的工具列上,
     然後按滑鼠的右鍵,把"百度"點一下,不要打勾
然後到:我的電腦→控制台→新增移除軟體
進入之後找到:百度mp3,點選移除.即可

方法二:您若是另有安裝:千千靜聽~的話
可以進入到我的電腦→控制台→新增移除軟體
然後把它移除,再重新安裝,但是出現安裝選項的時候
把百度mp3,點掉,不要打勾,就可以了~


[180 search 移除]

先查看控制台有移除的方法,沒有的話可以參考以下方法:

按[開始][執行]輸入 regedit,刪除以下機器碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lgbibsn
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msbb
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tov
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sais
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\saie
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\180ax

重新開機,按[開始][執行]輸入 msconfig,查看啟動區是否有下的項目,有則刪除。
180ax.exe
jkill.exe
msbb.exe
saap.exe
sais.exe
salm.exe
silent.exe

搜尋並刪除 180.dll 和 witircl.dll

刪除 C:\Program files\180search assistant 和 C:\Program files\180solutions 資料夾

[mywebsearch 移除方式]

1.左下角開始→設定→控制台→新增及移除程式→將其mywebsearch軟體移除

2.再利用搜尋方式→找尋有無 mywebsearch→刪除之

3.若無法刪除....就要重新開機後...按F8進入到安全模式中....將其刪除
4.左下角開始→執行→regedit→編輯→尋找→輸入mywebsearch→刪除之→找到就刪除→可以利用F3快捷鍵→尋找下一個→刪除OK
5.重新開機即可

[MSN Plus 贊助廣告]

只要到控制台移除MSN Plus 重新安裝即可
下次安裝時記得不要點到 我要安裝贊助軟體喔

"百度特搜"(baidu) 之影響及危險性

※ 內含Hacktool.Rootkit 及 灰鴿子系列病毒

如果你有安裝"百度"這個搜尋列,把它刪除
刪除方法為
到[控制台]=>[新增或移除]=>找到"百度"這程式(他是一個亂碼字體的程式)
將它移除,會出現一個簡體字網頁視窗,還會問你為何要卸載..隨便點選一個後按"卸載"進行刪除動作,結束後,重新開機,再用你的掃毒軟體掃看看

會中這個木馬病毒,有可能是安裝了來源不明的軟體

有篇報導,百度搜霸名列十大流氓軟體之一...
http://www.digitalcontent.org.tw/e/temp/0727/940727_ourlinx.htm
有些網友也許無意間去安裝了它,BDGuard.sys中毒的都安裝有"百度搜霸",百度源出大陸,逛個大陸網站很容易無意間被強制安裝,IE上無故出現一個"百度"字樣的搜尋列,使用者若是安裝到來路不明的軟體,使得BDGuard.sys中了木馬病毒(例:Hacktool.Rootkit),BDGuard.sys非系統本身程式,是百度的系統程式,刪除並不影響電腦,用此方法應該能順利被刪除(搜尋過,檔案已從電腦中消失)

[WinKalender 小時鐘]

該軟體被綁於 暴風影音
這是在灌Storm Codec 最新版以後
選CHINESE 一直安裝下一步
一堆流氓軟體中之一
控制台移除 WinKalender 即可

[工具列有紅色叉叉警告]

症狀:

按那個叉叉就會出現
Your computer is infected!
windows has detected spyware infection.
Click here to protect your computer from spyware.
或是
windows has detected spyware infection.
Your computer is infected!
It is recommended to use special antispyware tools to prevent data loss.
Windows will now download and install the most up-to-dateantispyware for you.
Click here to protect your computer from spyware.

要不就會出現這個網頁h t t p ://w w w.ecommerc-e.com/normal/yyy65.html

如果新開網頁 他會出現
Detected SPYware! System error #384
Your IP address is 59.121.152.46. Using this address a remote computer has gained anaccess to your computer and probably is collecting the information about the sites you've visited and the files contained in the folder Temporary Internet Files. 2006-01-31

Attention! Ask for help or install the software for deleting secret information about the sites you visited.
Your computer is full of evidences!

解決:

1. 使用HijackThis(置頂文) Fix checked 以下
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.eznsearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.eznsearch.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.eznsearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.eznsearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by EZN

2. 按下CTRL-ALT-DEL 結束C:\WINNT\System32\spoolsrv32.exe 的程序

3. 關閉一切瀏覽器 再度執行 HijackThis
Fix checked 以下
O2 - BHO: CWebDirObj Object - {C003C49F-53E4-4A72-B7D6-0B2B9997392F} - C:\WINNT\webdir.dll
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

4. 進入安全模式 刪除
C:\WINNT\webdir.dll

C:\WINNT\System32\spoolsrv32.exe
兩個檔案

------------------------------------------------------------------------------------------------------------

Navihelper 行為:

ADW_NAVIHELPER.A是典型的BHO(Browser Helper Object... 所謂的瀏覽器助手) 會顯示/ 跳出廣告( 如 http://baby.aoe88.com/ad.html 還有http://www.qu123.com/aoyu1.html等URL) , 甚至自我更新。

Navihelper 可能影響以下的作業系統:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.。

Navihelper 技術細節:
(注意: 您必須非常小心地刪除文件或登錄檔。 您應該試圖在新增/ 移除程式中去除Spyware /或Adware 。 自行修改您的系統登錄設置可能導致您的個人電腦無法開機, 迫使您重灌。)

文件名字: NaviHelper.dll

當Adware.Navihelper 被安裝, 它做以下:

1. 下載廣告資料庫, 安裝到C:/Windows/System32 。

2. 創造以下登錄值:

HKEY_CURRENT_USER/AppID/{13FACA62-5FC4-4817-9175-9C8D00975916}
HKEY_CURRENT_USER/AppID/NaviHelper.DLL
HKEY_CURRENT_USER/NaviHelper.NaviHelperObj.1
HKEY_CURRENT_USER/NaviHelper.NaviHelperObj
HKEY_CURRENT_USER/CLSID/{3E422F49-1566-40D3-B43D-077EF739AC32}
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{3E422F49-1566-40D3-B43D-077EF739AC32}

3. 引導用戶到廣告資料庫中的網站。.


解決:

1. 開始 --> 執行 --> 輸入 regsvr32 NaviHelper.dll -u

2. 重新啟動以後,移除 C:\WINDOWS\system32\NaviHelper.dll 和 Host.dat

3. 移除登錄 執行>regedit

刪除

HKEY_CURRENT_USER/AppID/{13FACA62-5FC4-4817-9175-9C8D00975916}
HKEY_CURRENT_USER/AppID/NaviHelper.DLL
HKEY_CURRENT_USER/NaviHelper.NaviHelperObj.1
HKEY_CURRENT_USER/NaviHelper.NaviHelperObj
HKEY_CURRENT_USER/CLSID/{3E422F49-1566-40D3-B43D-077EF739AC32}
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{3E422F49-1566-40D3-B43D-077EF739AC32}

這篇好像跟流氓沒關
關於網路釣魚 參考一下吧

網路新陷阱 老鳥險栽了

筆者使用電腦超過二十年,近來卻差點栽了個跟頭在一個新的網路騙局上。
筆者收到自稱雅虎公司的信函,要求筆者立刻提供六位好友的電子郵件地址,
否則兩週後即將停權。
其理由是該公司要強化客戶資料管理。
該信件提供了一個Yahoo的網址,叫我連過去。

筆者連過去之後,發現在版面設計上,該網址完全模仿Yahoo的網址。
更驚訝的是,在技術層次上,該網站也真的隸屬於Yahoo公司。
原來:歹徒是在俄羅斯申請一個網址,網址的名稱相當怪異,
叫做:「com%[email protected]」,
關鍵就在這裡:該網址的後段在電腦上會被翻譯成
「a href="mailto:%00@%6c%61%700%71%6b5%67%64%2e%64%41%2e%72">%00@%6c%61%700%71%6b5%67%64%2e%64%41%2e%72

」,
偏偏這段符號無法被電腦解讀,結果就消失不見。
這一來,歹徒便可自由設定次網域名稱,
例如把「www.yahoo.」加上去, 
結果網站名稱就變成了「www.yahoo.com%[email protected]」。
如前所述,「%00」後面的符號都無法被解讀,
所以電腦只會呈現出「www.yahoo.com」。
所以當使用者自以為在瀏覽雅虎網站「www.yahoo.com」時,
其實是進入歹徒的網站「www.yahoo.com%[email protected]」。

這下子,歹徒就可假扮成任何網站,
甚至利用網路購物來竊取消費者的信用卡資料。
而且,任何的網路保密機制都沒有用,
因為網路保密機制再怎麼完美,還是安裝在「正牌」的網站上面,
但使用者所上的網站,根本就是「冒牌貨」。
更慘的是,被冒充的網站完全不會知情。
因為歹徒可以在取得資料後,再偷偷將網址循正規程序導回「正牌」的網站上,消費者付了錢,也拿到貨物,完全不會有糾紛,誰知道資料都已外洩了。

請網友擦亮眼睛,切莫跌入陷阱。

[ 本文最後由 aaattt3 於 2006-7-24 11:15 編輯 ]

動漫機地論壇:[ 本帖最後由 aaattt3 於 2006-9-5 19:02 編輯 ]
http://animebase.servebbs.net/viewthread.php?action=printable&tid=60724

 

本文只提供分享..不提供訪客服務..晨曦婆婆沒有能力回答相關問題....

如要發問..請依引用網址找原撰文主人發問....