瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 全面剖析雅虎助手以及网络实名的流氓行径

1234   3  /  4  页   跳转

全面剖析雅虎助手以及网络实名的流氓行径

收藏
菓凍の觸電
头像
初生襁褓狮
  • 帖子:184
  • 注册: 2005-07-18
  • 来自:
发表于: 2006-06-30 14:50 | 只看楼主 短消息 资料
字号: 21楼

12、雅虎助手yassist4.exe打开本地1028端口,作用不明(图22)

附件附件:

下载次数:135
文件类型:application/octet-stream
文件大小:
上传时间:2006-6-30 14:50:53
描述:
gototop
 
菓凍の觸電
头像
初生襁褓狮
  • 帖子:184
  • 注册: 2005-07-18
  • 来自:
发表于: 2006-06-30 14:51 | 只看楼主 短消息 资料
字号: 22楼

13、植入Internet选项设置 图是植入到Internet选项的“高级”设置的内容。看看,还有“自动升级”功能呢,有什么新的手段或主意了,再在您的系统中试试?(图23)

附件附件:

下载次数:162
文件类型:application/octet-stream
文件大小:
上传时间:2006-6-30 14:51:36
描述:
gototop
 
菓凍の觸電
头像
初生襁褓狮
  • 帖子:184
  • 注册: 2005-07-18
  • 来自:
发表于: 2006-06-30 14:52 | 只看楼主 短消息 资料
字号: 23楼

--------------------------------------------------------------------------------
    四、网络实名及雅虎助手卸载情况剖析

    有人在网卡撰文说雅虎助手现在可以通过其卸载程序干净地卸载了。事实情况真的是这样吗?请看——

    1、“完全删除”和“完全卸载”的卸载承诺
    如图,无论网络实名还是雅虎助手,在卸载程序中都承诺“把雅虎助手从电脑中完全删除”和“完全卸载实名插件并关闭实名功能”。 卸载界面的承诺(图24)


附件附件:

下载次数:151
文件类型:application/octet-stream
文件大小:
上传时间:2006-6-30 14:52:09
描述:
gototop
 
菓凍の觸電
头像
初生襁褓狮
  • 帖子:184
  • 注册: 2005-07-18
  • 来自:
发表于: 2006-06-30 14:52 | 只看楼主 短消息 资料
字号: 24楼

2、完全卸载不完全
    雅虎助手卸载成功并重启后,在资源管理器中无法看到Windows Downloaded Program Files文件夹中有任何文件(即使你将资源管理器设置为显示所有文件、显示系统文件)。但使用著名的Total Commander文件管理器,却发现有一个zsmod.dll的隐藏文件! 雅虎助手卸载重启后资源管理器无法看到的隐藏文件(图25)

附件附件:

下载次数:144
文件类型:application/octet-stream
文件大小:
上传时间:2006-6-30 14:52:55
描述:
gototop
 
菓凍の觸電
头像
初生襁褓狮
  • 帖子:184
  • 注册: 2005-07-18
  • 来自:
发表于: 2006-06-30 14:53 | 只看楼主 短消息 资料
字号: 25楼

如果是卸载雅虎助手,卸载成功并重启后,上述目录居然隐藏有30个文件1个文件夹! 雅虎助手卸载重启后系统目录中隐藏的大量文件(Windows资源管理器无法以任何方式查看到,Total Commander可显示)(图26)

附件附件:

下载次数:192
文件类型:application/octet-stream
文件大小:
上传时间:2006-6-30 14:53:39
描述:
gototop
 
菓凍の觸電
头像
初生襁褓狮
  • 帖子:184
  • 注册: 2005-07-18
  • 来自:
发表于: 2006-06-30 14:54 | 只看楼主 短消息 资料
字号: 26楼

以zsmod.dll为关键字在注册表编辑器中搜索,可以发现这个文件并非是一个被“遗忘”的死文件,而是有相应的注册表键值! 卸载重启后注册表中的保留键值(图27)

附件附件:

下载次数:152
文件类型:application/octet-stream
文件大小:
上传时间:2006-6-30 14:54:54
描述:
gototop
 
菓凍の觸電
头像
初生襁褓狮
  • 帖子:184
  • 注册: 2005-07-18
  • 来自:
发表于: 2006-06-30 14:55 | 只看楼主 短消息 资料
字号: 27楼

卸载雅虎助手成功并重启后,检测BHO(浏览器帮助对象),发现系统中仍然保留有YDT和CnsHook.dll这两个BHO对象! 卸载重启后仍然被保留的浏览器帮助对象模块:(图28)

附件附件:

下载次数:145
文件类型:application/octet-stream
文件大小:
上传时间:2006-6-30 14:55:30
描述:
gototop
 
菓凍の觸電
头像
初生襁褓狮
  • 帖子:184
  • 注册: 2005-07-18
  • 来自:
发表于: 2006-06-30 14:56 | 只看楼主 短消息 资料
字号: 28楼

卸载雅虎助手成功并重启后,检测自动加载项目,发现仍然存在helper.dll、YDTMain.exe、CnsMin三个自动加载的程序项目!(图29)

附件附件:

下载次数:151
文件类型:application/octet-stream
文件大小:
上传时间:2006-6-30 14:56:23
描述:
gototop
 
菓凍の觸電
头像
初生襁褓狮
  • 帖子:184
  • 注册: 2005-07-18
  • 来自:
发表于: 2006-06-30 14:57 | 只看楼主 短消息 资料
字号: 29楼

再检测系统已经加载的内核模块,发现以驱动形式加载的CnsMinKP.sys仍然被成功加载!(图30)

附件附件:

下载次数:139
文件类型:application/octet-stream
文件大小:
上传时间:2006-6-30 14:57:03
描述:
gototop
 
菓凍の觸電
头像
初生襁褓狮
  • 帖子:184
  • 注册: 2005-07-18
  • 来自:
发表于: 2006-06-30 14:57 | 只看楼主 短消息 资料
字号: 30楼

以CnsMinKP.sys在注册表编辑器中搜索,卸载成功并重启后注册表中仍然保留CnsMinKP.sys的3处隐藏服务键值(图),使得卸载操作完全是一个骗局,其基本功能根本没有受到影响,至多是那个一般情况下显示在系统托盘的可以向用户提供“服务”的小图标不见了!当然,系统Drivers目录中的CnsMinKP.sys文件依然完好,没有受到任何破坏!(图31)

附件附件:

下载次数:143
文件类型:application/octet-stream
文件大小:
上传时间:2006-6-30 14:57:44
描述:
gototop
 
<<上一主题|下一主题>>
1234   3  /  4  页   跳转
页面顶部
Powered by Discuz!NT