¿Cómo saber si 3721 en el sistema se ha eliminado por completo? Gracias

Como programa de red que se puede instalar automáticamente y es extremadamente popular, 3721 ha sido controvertido en los últimos años. Este artículo intenta enumerar una serie de hechos objetivos desde diversos aspectos, como instalación, desinstalación, servicio, impacto en el sistema, etc. Las opiniones relevantes solo representan las opiniones personales del autor. Las discutiré con Dafangzhijia. Creo que cada uno tiene las suyas. opiniones y opiniones Al mismo tiempo, también espero que esto cause cierta confusión a las autoridades pertinentes.

Entorno de prueba: máquina virtual VMWare, conexión de host compartido, acceso a Internet con una dirección IP pública independiente, el sistema operativo es Windows XP Pro SP2, instalado de forma predeterminada, solo se copia directamente para realizar pruebas. El programa de administración de archivos necesario; Total Commander, la herramienta de seguimiento de registro Advanced Registry Tracer, la herramienta de instantáneas UltraSnap y el método de entrada de escritura necesario Wubi no están instalados. Además, algunas imágenes muestran varios contenidos de forma superpuesta para ahorrar espacio.

1. Análisis de la instalación de 3721

1. La promoción de instalación ha pasado de "indicaciones repetidas" a agrupación.

Desde que Windows XP SP2 lanzó el After the mejorado. Como característica de seguridad, los mensajes de instalación de 3721 que aparecían con frecuencia en el pasado se han suprimido de manera efectiva (Figura 1). Por lo tanto, además de la instalación tradicional mediante la implantación del navegador y la descarga e instalación directa, sus métodos de promoción e instalación también se han abierto en algunos. *** Instálelo como un paquete en shareware y software gratuito (Figura 2). Aunque el nuevo método de instalación incluido tiene opciones de instalación, para los usuarios que están acostumbrados al "método completo e ingresar" para instalar software, existe una gran posibilidad de que se instale en el sistema sin problemas.

2. Método de instalación "uno a tres", implantando en secreto otros módulos.

Si está instalado el Asistente de Internet, en realidad no es el Asistente de Internet el que está implantado en el sistema. al mismo tiempo, pero al mismo tiempo, se implantaron silenciosamente dos programas independientes, "Búsqueda en la barra de direcciones" y "Asistente de búsqueda" (Figura 3).

Al desinstalar Internet Assistant, los dos programas instalados adicionales no se desinstalarán; al desinstalar cada conjunto de programas, se agrega una opción para conservar otros módulos al cuadro de diálogo de desinstalación para lograr una desinstalación automática. -reparar.

3. Mecanismo de autoprotección perfecto

Desde la perspectiva de instalación, protección, desinstalación y reparación, cada enlace está entrelazado (Figura 4) y no hay problema si se maneja correctamente. , no se puede lograr una desinstalación limpia en la superficie (no se puede lograr una desinstalación verdaderamente completa a menos que se limpie manualmente, como se detalla a continuación)

Figura 4 Los mecanismos de protección de cada enlace están entrelazados y son difíciles de eliminar

2. Análisis de los servicios "íntimos" proporcionados por 3721 e Internet Assistant

Afirma brindar una variedad de servicios considerados, y las funciones indicadas por sus elementos de servicio también son muy impresionantes. Realizamos una prueba sencilla en varios de ellos para ver qué naturaleza y calidad de los "servicios" ofrece 3721.

1. La epidemia de pornografía es impactante

Después de instalar 3721 Internet Assistant, se implantaron más de 20 listas de URL en la barra de direcciones del navegador sin previo aviso, y el contenido no era más que eso. que: Está relacionado con el sexo, el entretenimiento, ganar dinero y otros aspectos (Figura 5).

A juzgar por la lista de URL en la barra de direcciones que implanta a la fuerza, una computadora con 3721 o Internet Assistant instalado es verdaderamente una computadora que “no es adecuada para niños”.

Eche un vistazo al enlace "Mujeres hermosas como nubes: 1.500 millones de imágenes y experiencia de estado de ánimo" que implantaron a la fuerza. Haga clic en algunos enlaces a voluntad y los resultados (como se muestra en la Figura 6) incluyen. "desnudo", "selfie", "Película de estrella de tercer nivel", "tentación de jóvenes guarras", "robo de habitación de hotel", "pasión infinita"... ¡y otras palabras poco halagadoras vinieron a mi cara!

Si el contenido específico proporcionado tiene algo que ver con otros socios, eche un vistazo a la página principal de "Nubes de mujeres hermosas: 1,5 mil millones de imágenes y experiencia de estado de ánimo" recomendada por 3721. "Los elementos de la categoría son claramente visible (Figura 7).

Echemos un vistazo al “Cine de banda ancha de velocidad extrema” recomendado por 3721 (Figura 8).

"Sex Diaries", "Sister Erotica", "Village Prostitutes", "Cheating Family", etc. ocupan la gran mayoría del catálogo de contenidos. ¿Puedes encontrar al menos un poquito de contenido saludable, positivo y edificante entre ellos? !

Esta es la punta del iceberg del gusto de contenidos en los servicios proporcionados por 3721 e Internet Assistant.

2. El "phishing" es perfecto

Además de la promoción de pornografía descarada mencionada anteriormente (¿cuál de los contenidos que circulan públicamente no es pornográfico o pornográfico?), también utiliza una Método de phishing para atraer clics: bajo la apariencia de "películas gratuitas", el reproductor se cubre con anuncios y cuando el usuario hace clic en el reproductor, se activará un clic en el anuncio (Figura 9).

Este método de inducir clics es sólo una forma. Con este enfoque "avanzado", ¿qué no se puede hacer?

Figura 9 Implantar automáticamente películas gratuitas abiertas en enlaces históricos en la barra de direcciones del navegador (phishing: un anuncio Flash se superpone con el botón de reproducción para atraer a los usuarios a hacer clic. Aquí, la configuración no muestra Flash para exponerlo Estructura de marco superpuesta)

3. Las funciones íntimas no son consideradas

Mucha gente está interesada en la función de filtrado de anuncios emergentes de Internet Assistant. ¡Veamos qué está pasando realmente!

Utilice la página de prueba profesional de /popupkillertest para realizar pruebas de filtrado de ventanas emergentes. Para evitar interferencias, primero desactive la función de filtrado de ventanas emergentes de Windows XP SP2 (nadie diría que el filtrado de ventanas emergentes de Internet Assistant depende de las funciones relacionadas con SP2 de Windows XP, ¿verdad?).

Resultados de las pruebas, entre las 27 pruebas, las que fallaron fueron: Ítem 3, Ítem 6 (1, 2), Ítem 8, Ítem 9, Ítem 10, Ítem 11, Ítem 12, Ítem 16, Artículo 17, Artículo 20, Artículo 21, Artículo 22, Artículo 24, Artículo 26, Artículo 27 (1, 2, 3), *** La prueba falló. Hay 15 artículos (18 tipos), los artículos con cuenta de filtrado fallida. el 55% del total, y los tipos de fallas representan el 66% del total (Figura 10). Es decir, según el sistema de cien puntos, la capacidad de filtrado de ventanas emergentes del Asistente de Internet ni siquiera obtuvo una puntuación aprobatoria.

Pero si habilita la función de filtrado de ventanas emergentes de Windows XP SP2, o utiliza un navegador de terceros con función de filtrado de ventanas emergentes como Maxthon, los resultados de las pruebas del mismo proyecto serán completamente diferente! El autor no proporcionará la situación específica por el momento. ¡Puede probarlo y compararlo usted mismo para comprender completamente las capacidades de este "asistente" en línea!

Figura 10 Los terribles resultados del filtrado en la prueba de filtrado de la ventana emergente

4. ¿De quién son los rastros que limpia "Clean Traces"?

La Figura 11 es una prueba de la función "limpiar rastros" del Asistente de Internet. ¿Qué tal realizar una limpieza y obtener el mensaje "¡No hay registros de URL actualmente!" pero abrir la barra lateral del historial del navegador?

5. El experto en administración de complementos tiene motivos ocultos

El experto en administración de complementos que abrió el Asistente de Internet solo incluyó el asistente de búsqueda "humildemente" pero abrió el complemento del navegador; -on Cuadro de diálogo, 3721 y más de una docena de complementos implantados por Internet Assistant son claramente visibles (Figura 12). Los complementos de otras empresas se consideran complementos, pero muchos de los dispositivos que usted implantó en secreto no son complementos. !

6. Trate su propio menú contextual "Souyisou" como el menú predeterminado del sistema.

Eche otro vistazo a la función "Limpiar menú contextual de IE" en "Restaurar apariencia de IE". ". Después de la limpieza, se informa que "¡No hay menús que se puedan limpiar!"

Pero, de hecho, cuando hace clic con el botón derecho del mouse en el navegador, aparecen los 3721 elementos de menú adicionales de "! Sou Yisou " ya son los mismos que se conservaron los elementos del menú predeterminados del sistema (Figura 13). Lo que resulta desconcertante es que la expresión "! Sou Yisou" no se conoce como técnica en la lingüística china.

7. Autoengaño de "limpiar la barra de herramientas de IE"

Pruebe "limpiar la barra de herramientas de IE" para ver qué tan efectivo es. Después de la limpieza, informó "¡No hay barra de herramientas para limpiar!", pero la barra de herramientas con el ícono de la escoba y varios otros botones en la barra de herramientas de IE que fueron implantados automáticamente por 3721 permanecieron intactos (Figura 14).

¿No pertenecen estas propias a barras de herramientas de terceros fuera del sistema? Lo mismo ocurre con la limpieza de los botones de la barra de herramientas.

8. La función "restablecer" de la barra de herramientas de IE no puede restablecer los botones de la barra de herramientas implantados por 3721.

Dado que Internet Assistant se niega a funcionar para mí, usaré las funciones propias de IE. ábralo para restaurar los botones de la barra de herramientas.

Abra el cuadro de diálogo de la barra de herramientas personalizada y haga clic en "Restablecer". Los botones implantados a la fuerza parpadearon por un momento y se restauraron inmediatamente (Figura 15).

¡Las funciones básicas del sistema han sido parcialmente deshabilitadas bajo la influencia de 3721!

El efecto del botón "Restablecer" de la barra de herramientas

9. Impacto en la estabilidad del sistema

En un entorno de máquina virtual, haga clic directamente en la dirección del navegador Ingrese "Hegong". Universidad" en la barra de búsqueda, y lo probé 6 veces antes y después, y cada vez apareció una pantalla azul inmediata (Figura 16).

Aunque puede haber algunas diferencias entre el entorno de la máquina virtual y el entorno real, la máquina virtual tiene mayores requisitos de memoria y ocupa una mayor cantidad de recursos del sistema. Lo mismo ocurre en el entorno real del sistema, pero al menos podemos estar seguros de que el asistente de búsqueda debe tener algún impacto negativo en la asignación de recursos del sistema (o hay algún tipo de ERROR), y cuando la demanda de recursos es grande. , tendrá un impacto adverso en el sistema.

3. Análisis de la escritura de 3721 en el sistema

Basado en los "principios técnicos detallados" afirmados por el sitio web en línea del nombre real, veamos si la situación real es la que se cuenta. el sitio web. La Figura 17 es lo que les dice a los usuarios. En proyectos de prueba posteriores, veremos qué tan "detallado" es y dónde se reflejan los usuarios y su derecho a saber.

"Principios técnicos detallados" del nombre real de la red

1. Archivos implantados en el sistema

Además de las carpetas de programas especiales, 3721 también está en Windows. \ El directorio Archivos de programa descargados guarda sus archivos de forma oculta para una reparación rápida; implante los archivos del controlador en el directorio del controlador del sistema y garantice que el modo seguro (¡incluso si no está en línea!) se pueda cargar y no se pueda eliminar directamente (Figura 18). , Figura 19).

①Situación de implantación de archivos después de instalar 3721:

● 37 archivos y 1 carpeta fueron implantados en el directorio Windows\Archivos de programa descargados;

● El archivo CnMinPK.sys El archivo del controlador está implantado en el directorio Windows\System32\Drivers.

● El nombre del directorio de archivos del programa es 3721, que contiene 15 archivos y 1 carpeta. ***Se implantaron un total de 53 archivos y 2 subcarpetas.

②Situación de implantación de archivos después de instalar Internet Assistant:

● 30 archivos y 1 carpeta fueron implantados en el directorio Windows\Archivos de programa descargados;

● El CnMinPK. El archivo del controlador sys está implantado en el directorio Windows\System32\Drivers.

● El nombre del directorio de archivos del programa es 3721, que contiene 79 archivos y 7 carpetas.

● El nombre del directorio de archivos del programa implantado es YDT, que contiene 4 archivos y 1 carpeta.

Se implantaron un total de 114 archivos y 9 subcarpetas.

Archivos y directorios ocultos que no se pueden ver en el Explorador de Windows

2. Elementos de registro escritos

Después de comparar las exportaciones del registro antes y después de la instalación Basado en información incompleta Estadísticas, el contenido escrito en el registro del sistema es aproximadamente el siguiente (puede haber algunos errores debido a modificaciones dinámicas causadas por la navegación web y otras operaciones):

Después de instalar 3721, el contenido del registro 122 se escribieron elementos clave y 408 valores clave;

Después de instalar Internet Assistant, se escribieron 251 elementos clave y 656 valores clave en el registro.

Desafortunadamente, incluso después de desinstalar y reiniciar de la manera correcta, ¡todos los elementos del registro aún no se pueden borrar!

3. Complementos automáticos implementados de múltiples maneras

3721 declara que la carga automática se implementa utilizando interfaces estándar del sistema, ¡y estas interfaces estándar se utilizan en su totalidad!

⑴ Internet Assistant agrega tres módulos de carga automática, helper.dll, YDTMain.exe y CnsMin, al elemento de clave Ejecutar en el registro HLM, y aún existen después de la desinstalación y el reinicio (Figura 20);

p>

⑵Cargue el módulo CnMinPK.sys a través del modo controlador para lograr la ocultación del proceso y no se puede detectar a través del Msconfig del propio sistema

⑶Logrado mediante reparación y protección mutuas; entre sus múltiples módulos, para lograr instalación, reparación y carga cruzadas

(4) Al incorporar el objeto de ayuda del navegador, se realiza la carga automática de funciones

(5) A través de las opciones de reparación en el cuadro de diálogo de desinstalación de cada módulo, inducción Mientras los usuarios desinstalan un determinado módulo, reparan y cargan automáticamente otros módulos

⑹ Al incluir algunos programas de instalación de terceros, instalación automática y; La carga automática se logra durante el proceso de instalación.

Módulos que aún se reinician automáticamente después de ser desinstalados

4. Procesos de autoprotección

Como se muestra en la Figura 21, después de instalar Internet Assistant, habrá tres tareas en la lista de tareas Procesos, entre los cuales los dos procesos mostrados como Rundll32.exe pueden lograr una reparación cruzada automática, es decir, un proceso es el proceso demonio de otro proceso. Por lo tanto, es imposible cerrarlos exitosamente de la memoria usando el Administrador de tareas de Windows. ¡Creo que la mayoría de la gente entiende esto!

Complementos del navegador implantados en el sistema

La Figura 22 muestra los 8 complementos del navegador implantados automáticamente en el sistema por Internet Assistant. Los navegadores de los usuarios se han convertido en una fuente de riqueza para varias empresas importantes. El resto es tan cerca como llegar a la puerta con un cuchillo y coger el dinero directamente.

6. Implanta automáticamente varios botones irrelevantes en la barra de herramientas del navegador.

Jaja, después de la instalación, Yahoo! y otros botones desordenados se instalarán todos a la vez, incluso el administrador de recursos. no se ha salvado (Figura 23, bastante considerada).

7. Elementos adicionales en la lista Agregar y quitar programas del Panel de control

Sin notificación explícita, después de instalar Internet Assistant, habrá elementos adicionales en Agregar y quitar programas. lista en el Panel de control Agregue dos elementos de programa (Figura 24).

8. Tabla de servicios del sistema integrada en el sistema

Utilice la herramienta de seguridad IceSword para detectar la tabla de descripción de servicios del sistema (SSDT). Puede encontrarla además del kernel del sistema Ntoskrnl. .exe, 3721 y "CnsMinKP.sys" de Internet Assistant. Las personas que se dedican a la programación saben qué nivel se ha alcanzado, pero los internautas comunes y corrientes están “fuera de la vista pero fuera de la mente” de todos modos. ¡Se puede ver que el trabajo duro realmente ha disminuido!

9. Hilos creados automáticamente

Como se puede ver en la Figura 26, el número de hilos creados automáticamente por Internet Assistant y sus módulos es tan grande como la proporción del número total. de hilos en el sistema. ¡Sorprendentemente muchos! Esta imagen muestra la situación de creación del hilo cuando no se abre ningún navegador u otras ventanas relacionadas (algunas partes requieren desplazamiento para verlas).

Integre el elemento de menú "! Buscar" en el menú contextual del navegador

Jaja, ¿debería reemplazarse el elemento de menú "! Buscar" en el menú contextual del navegador? ¿Volver y leer de derecha a izquierda? ¿Deberían también interpretarse las leyes de este mundo al revés (Figura 28)?

Internet Assistant Assiste.exe abre el puerto UDP local 1028

Como se muestra en la Figura 29, Internet Assistant Assiste.exe abre el puerto UDP local 1028, pero se desconoce su función .

13. Implantar configuración de opciones de Internet

La Figura 31 es el contenido de las configuraciones "avanzadas" implantadas en opciones de Internet. Eche un vistazo, también hay una función de "actualización automática". ¿Tiene algún método o idea nueva? ¿Puede probarlo en su sistema?

4. Análisis de la situación de desinstalación de 3721 e Internet Assistant

Alguien escribió un artículo sobre la tarjeta de red diciendo que 3721 ahora se puede desinstalar limpiamente a través de su desinstalador.

¿Es este realmente el caso? Consulte:

1. El compromiso de desinstalación de "eliminación completa" y "desinstalación completa"

Como se muestra en la Figura 32, tanto 3721 Network Real Name como Internet Assistant se prometen en el desinstale el programa "Elimine completamente el Asistente de Internet de la computadora" y "Desinstale completamente el complemento de nombre real y desactive la función de nombre real".

2. La desinstalación completa está incompleta

Una vez que la desinstalación del nombre real de la red se realiza correctamente y se reinicia, no puede ver ningún archivo en la carpeta Windows\Archivos de programa descargados en el administrador de recursos ( incluso si configura el Explorador para que muestre todos los archivos, muestre los archivos del sistema). ¡Pero usando el famoso administrador de archivos Total Commander, encontré un archivo oculto de zsmod.dll (Figura 33)! Si desinstala Internet Assistant, después de una desinstalación y reinicio exitosos, el directorio anterior en realidad contiene 30 archivos y 1 carpeta oculta (Figura 34).

Busque en el editor de registro usando zsmod.dll como palabra clave, podrá encontrar que este archivo no es un archivo muerto "olvidado", sino que tiene un valor de clave de registro correspondiente (Figura 35).

Después de desinstalar y reiniciar con éxito Internet Assistant, se detectó el BHO (objeto de ayuda del navegador) y se descubrió que los dos objetos BHO, YDT.DLL y CnsHook.dll, aún se conservaban en el sistema (Figura 36)!

Después de desinstalar y reiniciar con éxito Internet Assistant, se detectaron los elementos cargados automáticamente y se descubrió que todavía había tres elementos del programa cargados automáticamente: helper.dll, YDTMain.exe y CnsMin (Figura 37). )!

Luego verifique el módulo del kernel que se ha cargado en el sistema y descubra que CnsMinKP.sys cargado en forma de controlador todavía se cargó correctamente (Figura 38). Busque CnsMinKP.sys en el editor de registro. Después de una desinstalación exitosa y un reinicio, las tres claves de servicio ocultas de CnsMinKP.sys aún se conservan en el registro (Figura 39), lo que hace que la operación de desinstalación sea una completa estafa y sus funciones básicas no estén disponibles. En absoluto, ¡a lo sumo falta el pequeño ícono que generalmente se muestra en la bandeja del sistema y que puede brindar "servicios" a los usuarios! Por supuesto, el archivo CnsMinKP.sys en el directorio de Controladores del sistema todavía está intacto y no ha sufrido ningún daño.

Echa un vistazo al proceso del sistema. Como se muestra en la Figura 40, los tres procesos YDTMain.exe y Rundll32.exe que se protegen entre sí siguen ahí silenciosamente.

¡Se puede ver que lo anterior es la verdad de la llamada "eliminación completa del Asistente de Internet de la computadora"!

¿De verdad quieres deshacerte de ellos por completo? Sí, desinstale manualmente los otros dos programas 3721 instalados a la fuerza que no han sido notificados en la lista Agregar y quitar programas uno por uno (¡preste atención a las opciones relevantes al desinstalar! De lo contrario, es posible que se reparen entre sí en este momento, la mayoría). de los archivos y el registro se borre. Sin embargo, los archivos ocultos de zsmod.dll y las claves de registro relacionadas en la carpeta Windows\Archivos de programa descargados nunca se borrarán.

4. Aún se intenta la reparación cruzada durante el proceso de desinstalación.

En el proceso de desinstalación de estos módulos de programa adicionales, hay una opción que comienza con la palabra "desinstalar" que está seleccionada. de forma predeterminada:

p>

"Desinstalar Internet Assistant - Conservar Internet Assistant y otros botones después de buscar en la barra de direcciones"

Si solo lees la primera mitad de la oración durante la operación y pensó que había elegido "desinstalarlos", ¡entonces se equivocó!

Se puede ver que 3721 tiene un estudio muy exhaustivo de la psicología del usuario y los hábitos de uso de la computadora, ¡y ha aprovechado al máximo todo lo que se puede usar!

5. Análisis legal y moral del comportamiento integral de 3721

1. Análisis moral de 3721 e Internet Assistant

Qué son “desnudez”, “selfie”, "Películas de estrellas de tercer nivel", "Seducir a jóvenes guarras", "Robo de habitaciones de hotel", "Pasión infinita"... etc. blasfemaron los gustos de la mayoría de los internautas, engañaron y atrajeron a los jóvenes de maneras extremadamente malas; contaminaron el entorno de Internet.

Implantación forzada de otros módulos del programa sin notificación explícita.

Al cargar a través del controlador del sistema, no se puede evitar el modo seguro.

Incluso Windows proporciona un modo seguro con conexión de red a los usuarios como un proyecto separado, pero 3721 es indiscriminado, independientemente de si el usuario usa la red o no, ¡se cargará sin negociación!

Análisis legal de 2.3721 e Internet Assistant

Los programas de instalación adicionales violan el derecho a saber;

Los enlaces URL implantados a la fuerza que no son adecuados para niños ignoran los permisos de protección de adolescentes;

Promover la pornografía; introducir pornografía;

Usar medios engañosos para retener módulos sin el permiso del usuario durante el proceso de desinstalación y realizar reparaciones cruzadas entre sí;

Infecta automáticamente, se reproduce automáticamente, se oculta, ocupa recursos del sistema, interfiere con las actividades en línea de los usuarios, introduce directa o indirectamente datos incorrectos en el sistema, es extremadamente difícil de eliminar, se carga automáticamente a través de múltiples canales... ya tiene virus completo características

Proporcionar descargas de contenido inapropiado...

3. El impacto de 3721 y los asistentes de Internet en la seguridad nacional y la orientación cultural

Del trabajo duro y desde el ahorro hasta la construcción del país con el sonido de la extravagancia. Para la evolución pacífica de perros y caballos, solo necesitas usar 3721;

Para desintegrar el espíritu de lucha de la gente, solo necesitas usar 3721;

Para ocupar la posición de propaganda de China, solo necesita usar 3721;

Para dominar la línea de seguridad de la red de China, solo necesita dominar 3721;

Para cambiar la orientación cultural de los internautas chinos, solo necesitas usar 3721;

Para lanzar una guerra de parálisis de la red contra China, ¡solo necesitas pasar 3721!

…………

3721 ya está haciendo todo esto, ¡y lo está haciendo muy bien!