Kevin Chi
2003-11-22, 11:20 AM
Dear ALL,
分享一個解除彈出式廣告 ITU.EXE(pop-up ad)的小經驗。
話說,昨晚為了要找一個軟體的註冊機,一路循線找到了幾個網站,也
從中順利的下載了所需檔案,但就在這過程中,也不曉得是哪個機車網
頁,竟偷偷的送出了一個 NTVDM(DOS 視窗),以迅雷不及掩耳的速度
(執行完後便自動關閉)在俺的系統上又安裝又登錄,一口氣送進來了
幾隻小程式(在 Registry、%WinDir%\System32、Program Files 下,
都擺了一些讓你看的很不順眼的 .EXE 與 .DLL 及 .OCX)。它最讓人
頭痛的地方不是這些看的礙眼的小程式,而是它竟然聰明到每隔 3 至
5 秒便會自動開啟數個如名片般大小的 IE 視窗(廣告),而且如果你
關掉其中一個,聰明的它,便會立刻再衍生出好幾個,簡直擺明了挑戰
你手指的靈活度(看誰速度快!)。
█幾個明顯徵兆,提供給大家參考:
一,在 WinXP 的工作管理員中,可發現一隻 ITU.EXE 的程式在活動。
二,這個 ITU.EXE 程式可關閉它,但它會在數秒後又自動重新啟動。
三,這個程式的存放路徑在 %WinDir%\System32\ITU.EXE。
四,這個程式的相關登錄機碼,一共有十個,請參閱壓縮附件檔。
五,在 [path]\WINDOWS\Downloaded Program Files\ 會有幾個不明 plug-in。
█我的作業環境,也提供給大家參考:
一,作業系統是 Windows XP Pro Multilanguage。
二,瀏覽器版本是 Internet Explorer 6.0.2800.1106.xpsp2
█我的暫時解決之道:
一,先將罪魁禍首 %WinDir%\System32\ITU.EXE 暫時更名為 ~!IPU._
二,將發現的機碼暫先匯出,裡面的值也暫不做更動,以便後續研究。
三,將底下這幾個藏在 Program Files 底下的目錄更名,使其失效。
[path]\Program Files\ClearSearch -> ~!ClearSearch
[path]\Program Files\Lycos -> ~!Lycos
[path]\Program Files\Media -> ~!Media
[path]\Program Files\STC -> ~!STC
█解除後症狀:
一,原本會自動於 3 至 5 秒開啟 IE 小視窗廣告現象,已完全消失。
二,仍發現背景有程式會將視窗前景駐點(focus)自動切換為非前景。
█結語:
感覺上仍沒有移除乾淨,即便我也用了 Ad-aware 6.0 (Build 6.181)
來清除這些 spyware,但 Ad-aware 截至目前為止好像還不認識它們,
所以也移不掉。而以上方法,僅能治標不能治本,因為我在做法上是偏
向研究心態,想看看些許更動後的情況為何,以便將此經驗值套用在未
來相關事件上。如果您需要的是完整解除法,那我建議您不妨大膽一點
(但前提是您必須要有自己的備份還原計畫),應該可以藥到病除。
:-)
贊助商連結
分享一個解除彈出式廣告 ITU.EXE(pop-up ad)的小經驗。
話說,昨晚為了要找一個軟體的註冊機,一路循線找到了幾個網站,也
從中順利的下載了所需檔案,但就在這過程中,也不曉得是哪個機車網
頁,竟偷偷的送出了一個 NTVDM(DOS 視窗),以迅雷不及掩耳的速度
(執行完後便自動關閉)在俺的系統上又安裝又登錄,一口氣送進來了
幾隻小程式(在 Registry、%WinDir%\System32、Program Files 下,
都擺了一些讓你看的很不順眼的 .EXE 與 .DLL 及 .OCX)。它最讓人
頭痛的地方不是這些看的礙眼的小程式,而是它竟然聰明到每隔 3 至
5 秒便會自動開啟數個如名片般大小的 IE 視窗(廣告),而且如果你
關掉其中一個,聰明的它,便會立刻再衍生出好幾個,簡直擺明了挑戰
你手指的靈活度(看誰速度快!)。
█幾個明顯徵兆,提供給大家參考:
一,在 WinXP 的工作管理員中,可發現一隻 ITU.EXE 的程式在活動。
二,這個 ITU.EXE 程式可關閉它,但它會在數秒後又自動重新啟動。
三,這個程式的存放路徑在 %WinDir%\System32\ITU.EXE。
四,這個程式的相關登錄機碼,一共有十個,請參閱壓縮附件檔。
五,在 [path]\WINDOWS\Downloaded Program Files\ 會有幾個不明 plug-in。
█我的作業環境,也提供給大家參考:
一,作業系統是 Windows XP Pro Multilanguage。
二,瀏覽器版本是 Internet Explorer 6.0.2800.1106.xpsp2
█我的暫時解決之道:
一,先將罪魁禍首 %WinDir%\System32\ITU.EXE 暫時更名為 ~!IPU._
二,將發現的機碼暫先匯出,裡面的值也暫不做更動,以便後續研究。
三,將底下這幾個藏在 Program Files 底下的目錄更名,使其失效。
[path]\Program Files\ClearSearch -> ~!ClearSearch
[path]\Program Files\Lycos -> ~!Lycos
[path]\Program Files\Media -> ~!Media
[path]\Program Files\STC -> ~!STC
█解除後症狀:
一,原本會自動於 3 至 5 秒開啟 IE 小視窗廣告現象,已完全消失。
二,仍發現背景有程式會將視窗前景駐點(focus)自動切換為非前景。
█結語:
感覺上仍沒有移除乾淨,即便我也用了 Ad-aware 6.0 (Build 6.181)
來清除這些 spyware,但 Ad-aware 截至目前為止好像還不認識它們,
所以也移不掉。而以上方法,僅能治標不能治本,因為我在做法上是偏
向研究心態,想看看些許更動後的情況為何,以便將此經驗值套用在未
來相關事件上。如果您需要的是完整解除法,那我建議您不妨大膽一點
(但前提是您必須要有自己的備份還原計畫),應該可以藥到病除。
:-)
贊助商連結