全方面剖析3721!看流氓软件如何流氓(4)
第4页:3721及上网助手“完全”卸载情况剖析
有人在网文中说3721现在可以通过其卸载程序干净地卸载了。事实情况真的是这样吗?请看——
1、“完全删除”和“完全卸载”的卸载承诺
无论3721网络实名还是上网助手,在卸载程序中都承诺“把上网助手从电脑中完全删除”和“完全卸载实名插件并关闭实名功能”。
2、完全卸载不完全
网络实名卸载成功并重启后,在资源管理器中无法看到Windows Downloaded Program Files文件夹中有任何文件(即使你将资源管理器设置为显示所有文件、显示系统文件)。
但使用著名的Total Commander文件管理器,却发现有一个zsmod.dll的隐藏文件!如果是卸载上网助手,卸载成功并重启后,上述目录居然隐藏有30个文件1个文件夹)!
以zsmod.dll为关键字在注册表编辑器中搜索,可以发现这个文件并非是一个被“遗忘”的死文件,而是有相应的注册表键值!
卸载上网助手成功并重启后,检测BHO(浏览器帮助对象),发现系统中仍然保留有YDT.DLL和CnsHook.dll这两个BHO对象!
卸载上网助手成功并重启后,检测自动加载项目,发现仍然存在Hclpcr.dll、YDTMain.exe、CnsMin三个自动加载的程序项目!
再检测系统已经加载的内核模块,发现以驱动形式加载的CnsMinKP.sys仍然被成功加载!
以CnsMinKP.sys在注册表编辑器中搜索,卸载成功并重启后注册表中仍然保留CnsMinKP.sys的3处隐藏服务键值。
这样就使得卸载操作完全是一个骗局,其基本功能根本没有受到影响,至多是那个一般情况下显示在系统托盘的可以向用户提供“服务”的小图标不见了!当然,系统Drivers目录中的CnsMinKP.sys文件依然完好,没有受到任何破坏!
看看系统进程如何。YDTMain.exe、相互守护的Rundll32.exe共3个进程仍然静静地在那儿!
由此可见,上述就是所谓的“把上网助手从电脑中完全删除”的真相!
真的想把它们彻底清除吗?可以,手工在添加删除程序列表中把另外未被告知的两个3721强行安装的程序一一卸载(卸载时注意看清楚相关选项!否则可能又相互修复),此时绝大多数文件和注册表被清除。但WindowsDownloaded Program Files文件夹中zsmod.dll的隐藏文件以及相关的注册表键值却永远不会被清除!
3、额外安装的两个模块必须另行卸载
这是安装时未被明确告知就强行安装的、需要我们手工卸载的垃圾程序。
4、卸载过程中仍然试图交叉修复
卸载这些额外程序模块的过程中,存在默认被选中的以“卸载”二字开头的一个选项:“卸载上网助手-地址栏搜索后保留上网助手等按钮”,如果你操作中只看了前面半句,以为是选择了“卸载”它们,那你就错了!
由此可见3721的对用户的心理和电脑使用习惯研究得非常透彻,能够利用的都充分利用了!
事不宜迟!小编教你完全卸载上网助手(点击查看)