Cómo desinstalar el Asistente de Internet
Después de que Yahoo Assistant adquiriera 3721 Internet Assistant, pasó a llamarse Yahoo Assistant. Este es un software completamente fraudulento.
El siguiente es un artículo que leí, échale un vistazo y juzga por ti mismo...
Análisis completo de 3721 e Internet Assistant
Autor: imxk, Universidad Tecnológica de Hefei, 2005.06.27
¿Se puede realmente desinstalar 3721?
¿Realmente el 3721 es sólo para navegar por Internet en chino?
¿Es 3721 más dañino para Internet e incluso para la seguridad nacional de lo que crees?
¿La "información técnica detallada" reclamada por 3721 realmente puede darle derecho a saberlo?
¿El Asistente de Internet de 3721 es realmente tu “asistente”?
¡La divulgación completa es impactante!
Como programa popular de Internet que se instala automáticamente, 3721 ha generado controversia en los últimos años. Este artículo intenta utilizar hechos objetivos de instalación, desinstalación, servicio, impacto en el sistema, etc. para resaltar los puntos de vista y opiniones personales del autor para discutir con Dafangzhi. Creo que todos han visto la cristalización de la sabiduría al expresar sus propias opiniones. y también espera utilizar esto para atraer la atención de los departamentos relevantes.
Entorno de prueba: máquina virtual VMWare. ***Disfrute de la dirección IP pública independiente de la conexión del host para acceder a Internet. El sistema operativo es Windows XP Pro SP2, instalado de forma predeterminada, solo mediante copia directa, necesaria para; prueba del programa de administración de archivos Total Commander, herramienta de seguimiento de registro Advanced Registry Tracer, herramienta de instantáneas Total Commander, Registry Tracer, etc. Registry Tracer, UltraSnap y el programa de mecanografía esencial Jiwubi Input Method, sin necesidad de instalar ningún software adicional. Además, se han superpuesto partes de las imágenes para ahorrar espacio.
Análisis de instalación I.3721
1. El método de promoción de instalación ha cambiado de "indicaciones repetidas" a instalación incluida.
Debido a las mejoras introducidas en Windows. XP SP2 La función de seguridad de 3721 ha suprimido efectivamente los frecuentes mensajes de instalación de 3721 en el pasado (como se muestra en la Figura 1). Por lo tanto, su método de promoción e instalación es adicional al método de instalación tradicional de 3721. Aunque el nuevo método de instalación incluido tiene opciones de instalación, para los usuarios que están acostumbrados a "recitar las instrucciones hasta el final" para instalar el software, la posibilidad de instalarlo manualmente en el sistema es muy alta.
Figura 1 El mecanismo de seguridad de Windows XP SP2 trae inconvenientes a la instalación de 3721
Figura 2 Empaquetado e instalación predeterminada de software libre o software libre
2 Instalación "uno a tres", implantando en secreto otro módulo
Si instala
desinstala Internet Assistant, no desinstala estos dos programas adicionales al desinstalar cada programa; el cuadro de diálogo de desinstalación agregará una opción para conservar otro módulo para permitir la autorreparación involuntaria tras la desinstalación.
Figura 3
3. Mecanismo de autoprotección perfecto
Desde la perspectiva de instalación, protección, desinstalación y reparación, cada enlace es un entorno entrelazado ( Como se muestra en la Figura 4), si algún enlace no se maneja adecuadamente, será imposible lograr una desinstalación limpia en la superficie (no se puede lograr una verdadera desinstalación completa a menos que se limpie manualmente, lo cual se presentará en detalle más adelante).
Figura 4 Los mecanismos de protección de cada enlace están entrelazados y la desinstalación no es fácil
2 Análisis de los servicios "íntimos" proporcionados por 3721 e Internet Assistant
Afirma proporcionar varios 3721 es un tipo de servicio considerado, y las funciones indicadas por sus elementos de servicio también son deslumbrantes. Pusimos a prueba algunos de ellos para ver qué tipo de "servicio" ofrece 3721 y cuál es su calidad.
1. La pornografía, los juegos de azar y las drogas son impactantes
Después de instalar 3721 en Internet Assistant, se implantaron inadvertidamente más de 20 listas de URL en la barra de direcciones del navegador y su contenido no era nada. más que Casi: sexo, entretenimiento, dinero y otros aspectos relacionados (Figura 5).
A juzgar por la lista de URL implantadas a la fuerza en la barra de direcciones, ¡una computadora con 3721 o Internet Assistant se ha convertido en una computadora no apta para niños! "Artefacto selfie", "Película de Samsung", "Joven seductora y lujuriosa", "robo de habitación de hotel", "pasión ilimitada"... ¡y otras palabras poco halagadoras son claramente visibles!
Si el contenido específico proporcionado está relacionado con otros socios, eche un vistazo a "Belleza: 1.500 millones de imágenes y experiencia de estado de ánimo" recomendada en la página principal de 3721, qué "película BoBoBa.A", qué "..." Espera, ¡todos están en la categoría de "pornografía"! La categoría "porno" queda clara a simple vista (Figura 7).
Eche otro vistazo al "Cine de banda ancha de velocidad extrema" recomendado por 3721 (Figura 8). "Diario de sexo", "erótica de hermanas", "prostituta de pueblo", "familia infiel", etc. ocupan la gran mayoría del catálogo de contenidos. ¿Puedes encontrar aunque sea un poquito de contenido saludable, positivo y edificante?
Esto es sólo la punta del iceberg en lo que respecta al sabor del contenido de 3721 y los servicios de Internet Assistant.
Figura 5: Lista de URL implantadas automáticamente en la barra de direcciones del navegador
Figura 6: Enlace implantado automáticamente en el historial de direcciones del navegador
Figura 7: Algunos enlaces en el navegador historial de la barra de direcciones que se implantan automáticamente
Figura 8: Algunos enlaces en el historial de la barra de direcciones del navegador que se implantan automáticamente
2. "Phish" es una obra maestra
Además de la descarada pornografía mencionada anteriormente (¿Qué no es pornografía, qué es la pornografía?) también utiliza una forma de publicidad y promoción que no es pornografía, sino una forma de "phishing" Además de la descarada propaganda pornográfica mencionada anteriormente (El contenido divulgado no es pornográfico, sino pornográfico), la empresa también utiliza un método de phishing para inducir a los usuarios a hacer clic en el anuncio: bajo el disfraz de "películas gratuitas", el reproductor se cubre con anuncios. Cuando los usuarios hacen clic en el reproductor, se les pedirá que hagan clic en los anuncios (Figura 9).
Este método de inducir clics es sólo uno de ellos. Con un método tan "avanzado", ¿qué más se puede hacer? ¿No se puede hacer?
Figura 9 Películas gratuitas abiertas en el enlace del historial en la barra de direcciones del navegador (phishing: superposición de anuncios Flash en el botón de reproducción para atraer a los usuarios. Haga clic. Flash no se muestra aquí para exponer su marco superpuesto estructura)
3. Las funciones íntimas no son consideradas
Mucha gente está interesada en la función de filtrado de anuncios emergentes de Internet Assistant. ¡Veamos qué está pasando realmente! >
Utilice la página de prueba profesional de /popupkillertest para realizar una prueba de filtrado de anuncios emergentes. Para evitar interferencias, primero desactive la función de filtrado de anuncios emergentes de Windows XP SP2 (nadie lo dirá). ¡La función de Internet Assistant depende de la implementación de las funciones relacionadas con Windows XP SP2!)
Prueba
Resultados de la prueba, entre las 27 pruebas, las siguientes fallaron en varios elementos: el tercer elemento. , el sexto punto (1, 2), el octavo punto, el noveno punto, el décimo punto, el undécimo punto, el duodécimo punto, el decimosexto punto, el decimoséptimo punto, el segundo Diez puntos, punto 21, punto 22, punto 24, elemento 26, elemento 27 (1, 2, 3), **** 15 elementos en total (18 tipos) de fallas de prueba, el filtrado de proyectos fallidos representó 55 del total y los tipos de falla representaron 66 del total. (Figura 10).
En otras palabras, según el cálculo porcentual, ¡la capacidad de filtrado de ventanas emergentes del Asistente de Internet ni siquiera está calificada!
Si habilita la función de filtrado de ventanas emergentes de Windows XP SP2, o utiliza un navegador de terceros con función de filtrado de ventanas emergentes como Maxthon, los resultados de las pruebas del mismo programa serán completamente ¡diferente! No te voy a dar los detalles, ¡pero puedes probar y compararte para tener una mejor idea de lo que es capaz de hacer este "asistente"!
Figura 10: Resultados de filtrado horribles en la prueba de filtrado de la ventana emergente
4. ¿De quién son los rastros que limpia "Clean Trace"?
La Figura 11 muestra una prueba de la función "Limpiar rastros" del Asistente de Internet. Después de realizar la limpieza, el resultado es "¡No hay ningún registro de URL actual! Pero, ¿qué sucede cuando abres la barra lateral del historial del navegador?
Figura 11 ¿De quién son los rastros que ha limpiado "Trace Cleaner"?
5. El experto en administración de complementos no tiene intenciones egoístas
Cuando abre el experto en administración de complementos de Internet Assistant, solo aparecen asistentes de búsqueda "modestamente", pero abre el complemento del navegador; En el cuadro de diálogo, más de una docena de complementos implantados en 3721 e Internet Assistant son claramente visibles (Figura 12). ¡Otros complementos se consideran complementos, pero los muchos juguetes que implantaron en secreto no son complementos? ¿Tiene lógica esto?
Figura 12: El "experto en administración de complementos" hace la vista gorda ante los complementos basura que implantó
6: Trate el clic derecho en "Buscar". menú como menú predeterminado del sistema
Mire de nuevo En la función "Limpiar menú contextual de IE", "Restaurar apariencia de IE", después de la limpieza, informará "¡No hay menús para limpiar!" "
¡Pero en realidad, haz clic derecho en el navegador"! Los 3721 elementos de menú adicionales buscados "se han guardado como elementos de menú predeterminados del sistema (Figura 13). Lo desconcertante es que "! Busque "No sé qué tipo de tecnología es esta expresión en la lingüística china".
Figura 13 El menú contextual agregado automáticamente por 3721 no es un objeto de limpieza
7 Autoengaño al "limpiar la barra de herramientas de IE"
Pruebe el efecto de "Limpiar la barra de herramientas de IE". ¡Después de la limpieza, informa "Barra de herramientas no limpiada"! Sin embargo, la barra de herramientas de IE se implantó automáticamente con un. Icono de escoba de 3721. La escoba en la barra de herramientas. Los iconos y varios otros botones están intactos (Figura 14). ¿Estas barras de herramientas de terceros no son suyas? La limpieza de los botones de la barra de herramientas termina aquí. Herramienta IE. Resultados de la columna
8. La función "restablecer" de la barra de herramientas de IE no puede restablecer los botones de la barra de herramientas implantados por 3721
Dado que Internet Assistant se niega a ser utilizado por mí, entonces utilice Utilice la configuración de funciones propia de IE para restaurar los botones de la barra de herramientas.
Después de abrir el cuadro de diálogo "Personalizar barra de herramientas" y hacer clic en "Restablecer", el botón implantado parpadeó por un tiempo, pero luego se restableció (Figura 15).
3721 desactiva parcialmente las funciones básicas del sistema.
Figura 15: El efecto del botón "Restablecer" de la barra de herramientas
9.
En un entorno de máquina virtual, ingrese directamente "Universidad de Hefei" en la barra de direcciones del navegador para buscar, lo probó 6 veces antes y después, y cada vez apareció una pantalla azul
< p. >Aunque puede haber ciertas diferencias entre el entorno de la máquina virtual y el entorno real. La máquina virtual tiene mayores requisitos de memoria y consume más recursos del sistema, pero no podemos estar seguros de si ocurre lo mismo en el entorno del sistema real. al menos se puede determinar que el asistente de búsqueda debe tener un cierto impacto negativo en la asignación de recursos del sistema (o habrá algún tipo de error), y tendrá un impacto adverso en el sistema cuando la demanda de recursos sea grande.Figura 16: Medio día 6 pantallas azules en la prueba de búsqueda
Tres: 3721 escrituras en el sistema
Según los "principios técnicos detallados" reclamado por el sitio web, veamos si la situación real es la indicada por el sitio web.
La Figura 17 muestra lo que el sitio web le dice al usuario. En pruebas posteriores veremos qué tan "detallado" es, y qué papel juegan los usuarios y el derecho a saber.
Figura 17: "Principios técnicos detallados" de la realidad de Internet
1. Archivos implantados en el sistema
Además de una carpeta de programa especial, 3721 también se esconde. sus archivos en el directorio de Archivos de programa (descargados) de Windows para obtener soluciones rápidas; en el directorio de Controladores del sistema para obtener soluciones rápidas; y en el directorio de Controladores del sistema para obtener soluciones rápidas; Coloque los archivos de controladores en el directorio de archivos de programas de Windows de forma oculta para una solución rápida. Coloque los archivos de controladores en el directorio de controladores del sistema y asegúrese de que se pueda cargar el modo seguro (¡incluso si no está en línea!) en lugar de eliminarlos directamente (Figura 18 y Figura 18). 19).
①Implantación de archivos después de instalar 3721:
● 37 archivos y 1 carpeta fueron implantados en el directorio Windows\Archivos de programa descargados;
● El controlador CnMinPK.sys El archivo se implanta en el directorio Windows\System32\Drivers. .
● Un directorio llamado 3721 está implantado en el directorio Archivos de programa, *** que contiene 15 archivos y 1 carpeta.
*** Se implantaron un total de 53 archivos y 2 subcarpetas.
② Implantación de archivos después de instalar Internet Assistant:
● Se implantaron 30 archivos y 1 carpeta en el directorio Windows\Archivos de programa descargados;
● El CnMinPK. El archivo del controlador sys está implantado en el directorio Windows\System32\Drivers. .
● Un directorio llamado 3721 está implantado en el directorio Archivos de programa, que contiene 79 archivos y 7 carpetas.
● El directorio Archivos de programa se implanta en un directorio llamado YDT, *** que contiene 4 archivos y 1 carpeta.
*** Se implantaron un total de 114 archivos y 9 subcarpetas.
Figura 18 Como implante de controlador, el modo seguro también puede surtir efecto
Figura 19 Archivos y directorios ocultos que no se pueden ver en el Explorador de Windows
2. Registro entradas escritas
Según las estadísticas incompletas exportadas desde el registro antes y después de la instalación, los contenidos escritos en el registro del sistema son los siguientes (modificaciones dinámicas causadas por la navegación en el Explorador de Windows)
Después de la instalación 3721, se escribieron 122 claves y 408 valores en el registro;
Después de instalar Internet Assistant, se escribieron 251 claves y 656 valores en el registro.
Desafortunadamente, después de desinstalar y reiniciar según el método correcto, ¡las entradas del registro aún no se pueden eliminar!
3. Implemente la carga automática de proyectos de varias maneras
3721 señaló que la carga automática se logra a través de interfaces estándar del sistema, ¡y estas interfaces estándar se utilizan por completo!
(1) Internet Assistant agrega tres módulos cargados automáticamente: helper.dll, YDTMain.exe y CnsMin a la clave de ejecución en HLM en el registro, y aún existen después de la desinstalación y el reinicio (Figura 20).
(2) El módulo CnMinPK.sys se carga a través del modo controlador, que realiza la ocultación del proceso y no se puede detectar a través del Msconfig que viene con el sistema
(3) A través de múltiples reparaciones mutuas y protección de módulos para lograr instalación, reparación y carga cruzadas;
(4) Carga automática de funciones a través de objetos de ayuda integrados en el navegador;
(5) A través de opciones de reparación en el cuadro de diálogo de desinstalación de cada módulo, se induce a los usuarios a reparar y cargar automáticamente otros módulos mientras desinstalan un determinado módulo;
(6) Al incluir un instalador de terceros, implementar la instalación automática y carga automática durante el proceso de instalación.
Figura 20 El módulo que aún se reinicia automáticamente después de ser desinstalado
4. Proceso de autoprotección
Como se muestra en la Figura 21, después de instalar Internet Assistant, la lista de tareas Aparecerán tres procesos, de los cuales dos procesos mostrados como Rundll32.exe pueden lograr una reparación cruzada automática, es decir, uno es el proceso demonio del otro. Entonces, como la mayoría de la gente sabe, ¡no se pueden cerrar desde la memoria usando el Administrador de tareas de Windows!
Figura 21 Crea múltiples procesos y puede autoprotegerlos
5 Complementos del navegador integrados en el sistema
La Figura 22 muestra el Internet Explorer automático integrado. Sistema de 8 complementos del navegador. Los navegadores de los usuarios se han convertido en la base económica para que varias grandes empresas hagan fortuna.
La Figura 22 muestra 8 complementos del navegador que se integran automáticamente en el sistema Internet Explorer. Se han convertido en la base económica para que varias grandes empresas ganen dinero. El resto acaba de llegar con un cuchillo. para agarrar dinero directamente.
Figura 22 Implantar automáticamente 8 complementos del navegador de una sola vez
6 Implantar automáticamente varios botones irrelevantes en la barra de herramientas del navegador
Ups, después de instalar el navegador. , Yahoo y otros botones desordenados están todos instalados para usted, incluso el administrador de recursos no se salva (Imagen 23, lo suficientemente considerado).
Figura 23 Botón para forzar la instalación en el administrador de recursos
7. Agregar/eliminar elementos adicionales de la lista de programas en el panel de control
Sin indicaciones explícitas En En este caso, después de instalar Internet Explorer, habrá dos elementos más en la lista Agregar o quitar programas en el Panel de control (Figura 24).
Figura 24: Dos módulos adicionales implantados en un momento desconocido
8: Tabla de servicios del sistema implantada
Utilice la herramienta de seguridad IceSword para detectar la tabla de descripción de servicios del sistema ( SSDT), puede encontrar que además del kernel del sistema Ntoskrnl.exe, también están el kernel 3721 y "CnsMinKP.sys" de Internet Explorer. Todos los programadores saben qué nivel de trabajo es este, y los internautas comunes y corrientes están "fuera de la vista, fuera de la mente" de todos modos.
¡Se puede ver que el trabajo efectivamente se ha completado!
Figura 25: Tabla de servicios del sistema no disponibles en el Administrador de tareas
9: Hilos creados automáticamente
En la Figura 26 podemos ver que Internet El número de hilos creados automáticamente por el asistente y sus módulos es una proporción sorprendentemente alta del número total de subprocesos en el sistema. La imagen muestra un hilo creado sin ningún navegador y otras ventanas relacionadas abiertas (algunas ventanas requieren desplazamiento para verlas).
Figura 26 Lista de hilos creada automáticamente
10. Gancho de mensajes ejecutándose en segundo plano
Los usuarios interesados pueden ver los tipos de ganchos en la Figura 27 para obtener más información. las numerosas funciones de gancho utilizadas por 3721 haciendo.
Figura 27 Una gran cantidad de enlaces de mensajes
11. Implante el elemento de menú "!Buscar" en el menú contextual del navegador
Oh, está implantado en el menú contextual del navegador "!Buscar", ¿debería leerse al revés, de derecha a izquierda en el menú contextual del navegador? ¿No deberían leerse las leyes del mundo al revés (Figura 28)?
Figura 28 Elementos del menú contextual del navegador
12. Internet Assistant Assiste.exe abre el puerto local 1028
Como se muestra en la Figura 29, Internet Assistant Assiste.exe abre Puerto UDP local 1028, se desconoce su función.
Figura 29: Apertura de puerto
13: Configuración de opciones de Internet implantadas
La Figura 31 muestra el contenido de la configuración "Avanzada" de las opciones de Internet implantadas. Eche un vistazo, también hay una función de "actualización automática". ¿Hay algún método o idea nueva que pueda probar en su sistema?
Figura 31 Implantación de la opción de Internet
IV. Análisis de desinstalación de 3721 e Internet Assistant
Algunos internautas escribieron en el blog de NetEase que 3721 ahora se puede utilizar a través de Its. el desinstalador lo desinstaló limpiamente. ¿Es este realmente el caso?
1. Promesas de desinstalación de "eliminación completa" y "desinstalación completa"
Como se muestra en la Figura 32, tanto 3721 Network Real Name como Internet Assistant se prometen completamente en el programa de desinstalación. elimine Internet Assistant de su computadora" y "Desinstale completamente el complemento de nombre real y desactive la función de nombre real".
Figura 32 La promesa de la interfaz de desinstalación
2. La desinstalación completa está incompleta
Una vez que la desinstalación del nombre real de la red se realiza correctamente y se reinicia, no se puede realizar. visto en el administrador de recursos Cualquier archivo en la carpeta Windows\Archivos de programa descargados (incluso si configura el Explorador para Mostrar todos los archivos, Mostrar archivos del sistema).
.Sin embargo, utilizando el famoso administrador de archivos Total Commander, es posible encontrar el archivo oculto zsmod.dll (Fig. 33). Si está desinstalando Internet Assistant, después de una desinstalación y reinicio exitosos, el directorio anterior en realidad oculta 30 archivos y 1 carpeta (Figura 34).
Busque zsmod.dll en el editor de registro y descubra que el archivo no es un archivo muerto "olvidado", ¡sino que tiene una clave de registro correspondiente (Figura 35)!
Después de desinstalar Internet Explorer y reiniciar, verifiqué los BHO (objetos auxiliares del navegador) y descubrí que YDT.DLL y CnsHook.dll todavía estaban en el sistema (Figura 36).
Después de desinstalar con éxito Internet Assistant y reiniciar, verificamos los proyectos cargados automáticamente y descubrimos que todavía hay tres proyectos de programas cargados automáticamente, a saber, helper.dll, YDTMain.exe y CnsMin (Figura 37).
Luego revisé los módulos del kernel cargados en el sistema y descubrí que CnsMinKP.sys cargado como controlador aún se había cargado exitosamente (Figura 38). Busque CnsMinKP.sys en el editor de registro y reinicie después de una desinstalación exitosa. Las tres claves de servicio ocultas de CnsMinKP.sys aún se conservan en el registro (Figura 39), por lo que la desinstalación es completamente una estafa, sus funciones básicas no lo han sido. afectado en absoluto. ¡A lo sumo, falta el pequeño icono que normalmente aparece en la bandeja del sistema para proporcionar a los usuarios "servicios"! ¡Por supuesto, el archivo CnsMinKP.sys en el directorio del controlador del sistema todavía está intacto y no ha sufrido ningún daño!
Eche un vistazo a cómo se ven los procesos del sistema. Como se muestra en la Figura 40, los tres procesos YDTMain.exe y Rundll32.exe*** que se protegen entre sí todavía están ahí en silencio.
¡Lo anterior es la verdad detrás del llamado "Eliminar Asistente de Internet de la computadora"!
¿De verdad quieres eliminarlos? Puede desinstalar manualmente los otros dos programas 3721 instalados uno por uno en la lista "Agregar y quitar programas" sin recibir notificación (¡verifique las opciones relevantes al desinstalar! De lo contrario, es posible que se reparen entre sí nuevamente) y luego la mayoría de los archivos y registros. será despejado. Sin embargo, el archivo oculto zsmod.dll y las claves de registro relacionadas en la carpeta Windows/Archivos de programa descargados nunca se eliminarán.
Figura 33 Archivos ocultos que el administrador de recursos no puede ver después de desinstalar y reiniciar 3721
Figura 34 Una gran cantidad de archivos ocultos en el directorio del sistema después de desinstalar y reiniciar Internet Assistant ( El Administrador de recursos de Windows no se puede ver de ninguna manera, pero se puede mostrar a través de Total Commander)
Figura 35 Claves de registro retenidas después de la desinstalación y reinicio
Figura 36 Retenidas después de la desinstalación y reinicio Navegador auxiliar módulo de objeto
Figura 37 Complementos automáticos retenidos después de la desinstalación y reinicio
Figura 38 Módulo kernel cargado después de desinstalar el modo controlador