全面清剿网络间谍檄文之一--间谍杀手

【明慧网2002年5月14日】目前有一种十分流行的编程技术,该技术叫“Aureate/Radiate's advertising ”。它被许多目前非常流行的程序所使用,通常是运行在后台,类似于寄生在浏览器中的寄生虫,有不少的软件商在软件的内部载入了Spyware,这些Spyware私自将用户的个人资料泄露。这些个人资料都包括什么内容,不得而知!

来,让Lavasoft Ad-aware解除后顾之忧。可扫描已知的多种间谍程序并能安全清除。间谍程序号称广告特络伊,秘密安装并搜集资料。特洛伊我想大家都十分清楚其危害性,但这种广告特洛伊就十分狡猾,不能被防病毒软件所查到!但有时可被防火墙截获!大家经常看到有一些程序鬼鬼祟祟地要求上网,这就有可能是广告特洛伊程序要求联结远程主机!有的时候你的邮箱有大量的广告垃圾,原因知道么,这也是广告特洛伊惹的祸,把您的信箱地址偷运出境!如果此类程序被不法分子使用,危险性也将大大增强!如果此类程序在连接主机过程中,被截获,你的个人资料也将……?!咨询邮件为:support@lavasoftUSA.com.

下面介绍两款软件:AD-aware 5.62 Plus和Ad-watch,最好两者结合使用!

一。AD-aware 5.62 Plus

版本5.0简单介绍:
1.备份,恢复非常简单
2.多语言支持
3.可快速扫描,选定的文件夹或盘。
4.可以不检测某些间谍程序。
5.新用户界面
6.可扫描移动磁盘
7.Ad-watch升级为2.0版本
软件名称:AD-aware 5.62 Plus
软件类型:共享软件
使用平台:Win9x/Me/NT/2000   
软件大小:1184KB   
软件开发:https://www.lsfileserv.com/

下面是一个小例子:如何设置Ad-aware,创建备份等。
该软件安装后将在开始-->程序创建一个快捷方式(桌面也有),运行该软件,在Ad-aware的主界面将显示三个不同的菜单(scan now,backups,configuratiom三项):

a.scan now,点击此项,用设置好的选项进行扫描。

b.backups,创建备份或删除备份

c.configuration,打开preferences菜单
1.设置扫描选项,当第一次运行该程序时,没有选项被设置,在左边的列表中选择让Ad-aware扫描的选项。第一次,一般选择memory-scan(内存), registry scans(注册表) and the drive(盘,一般只选择windows安装的盘)。没有必要扫描所有的盘,可根据需要推荐选择。前一次的扫描设置会成为下一次的默认的设置,如果Ad-aware随windows启动时,这个设置也将被调用!但有一个例外:就是从explorer(应该是资源管理器)在文件夹或drive点右键弹出的菜单运行情况除外。在这种情况下仅仅drive\folder将被搜寻,但下一次启动的扫描设置将不被覆盖,也可再次被用。

灰色的图标表示不被选择的项,也可用选项前以"对号"选择。例如:在"My computer"前打对号,表示扫描选项为"My computer",
扫描进程可观察"summary",可时时看到检测的间谍程序个数。并且,当扫描结束的时候,会生成一个文件。不理会的项目将在"Componentes ignored"下面被编成表,并被记录文件中被纪录,但是不进一步处理。
重要的"New components"被计数,它仅仅显示出乎意料的components.这些components也不在ignorelist列表中显示。如果扫描完成,你应该在Ad-aware产生的记录文件中看详情,点击show log.如果spyware被检测到,建议存盘以后在分析它,请在show log 菜单下选择save,存盘后,"back"按钮是返回。单击“继续”可得到全部的被检测到的components一览表(如果有的话)。

注意:使扫描中止,点击"Abort"立即回到主界界面。

假如扫描后发现了间谍程序的components,按继续也有新窗口弹出,显示检测到的详细列表。

每个一览表里的项目有三个域:
·EType : M = 模块, K = 注册表键值, V = 注册表值 和 F =文件夹
·ESystem:间谍程序的components所属的间谍程序
·Edetails:路径名,注册表键值等详细内容。

为了得到更多的详细内容可用鼠标点击列表中的某一个,一会就会出现一个弹出的小窗口显示详细内容。选定所选项目,点击鼠标右键,将弹出一个菜单任意选择有下列功能:
·ECheck\Uncheck,选择所有或全不选择。
·EJump to key-如果RegHance 2.0已安装或以后按装后,你能用Jump to key直接跳到注册表的该项键值表中。
·Export RegHancebookmarkfile,导出RegHance类型文件
·E Show properties,显示所选文件的属性。
·EMove sel.items to ignorelist,把所选项目发送到ignorelist
·EBackup selected items ,把所选的项目备份。
·EContinue-继续清洁系统,所选的全部项目都将被移出。
注:该软件屏幕底部有3个按钮分别是Backup,Exclude和Continue,根据需要选择。在这三个按钮的左侧显示的是xx个间谍项目被发现。
·EExclude,把所选项目发送到ignorelist文件中。
·EBackup,备份所选的项目,自己指定文件名和路径,一般建议选择。
·EContinue-继续清洁系统,所选的全部项目都将被移出。

为了能用RegHance打开选定的注册表值,必须指定在configuration---->paths给出RegHance安装文件夹。

你想不理会某些项目,请选定不理会的项目,然后点击“"exclude"(拒绝的意思) 钮。这样选定的项目将从结果列表中移出。

最后选择你想要清除的项目来,点击"continue"键,Ad-aware软件将清除所选的项目清除。值得注意的是:所有的项目必须是重新启动后,才能被清除。

2.从备份重新安装项目。如果想反安装已被删除的项目,在主界面上选择"backup",单击后进入就会看到备份文件。选择备份文件后,单击"Restore"按钮,进行恢复。在"Restore"按钮的右侧是"clean"按钮,是删除备份文件。执行完,单击"ok",返回到主界面 ! 也可以通过选定备份文件点击鼠标右键,弹出菜单中选择"restore this backup"或"delete"!

注意:当开始的时候,Ad-aware将扫描备份文件夹,如果通过主界面的configurtation菜单改变备份路径,您也必须把备分文件拷贝到新的备份目录下。

3.编辑“Ignorelist”,有时希望系统保留特别的间谍程序,也不希望Ad-aware把所有的间谍项目进行一编又一编的检测,就需要对主界面下的你在configuration-->ignorelist下面的ignorelist进行配置。

当你第一次运行Ad-aware,ignorelist列表是空的。如何把不需要理会的项目加进此列表中呢?请看下面几步:

第1,扫描您的系统。一直到有列表出来。
第2,在列表中选定所有您想不理会的项目,然后点击"exclude" 按钮。
第3,回头看看configuration-->ignorelist的列表,看看是不是有不需要理会的列表了。注意:不要让在自动模式下运行Ad-aware.

不理的项目将被编入带评述的记录文件,在扫描期间里不进行处理。

如何从列表中清除项目呢?选定(鼠标右键(checked(选择)或unchecked(不选择),也可用鼠标在此项目前的框内达格对号)后,单击"remove checked items" 按钮。

注:Ad-aware和Ad-watch共同拥有一个ignorelist(或者是referencefile)。ignorelist将在Ad-aware安装文件夹内被保存。

4.设置Ad-aware:
安装之后,有必要定制Ad-aware.在主菜单,单击"Configuration"钮。有一般选项(general options)和附加选项(Additional options )。

(1)General Options(一般任意选择),在"Configuration"--〉options.在这里你能设一些基本选择,和指定被使用的语言。按"cancel"不保存设置,保存设置请按"proceed"。ignorelist是唯一例外的,任何变化都将保存在磁盘中。

简单说明:

a.Mark all references found by default
如果被设置',全部结果一览表里的项目都将在后一定要删除。也就是默认选定了所有的已检测到的间谍程序。可以用上面提到的手工检查,或者清除对他们的选定。

b.Scan on Windows startup,如果被设置,Ad-aware将随windows启动而启动。个人看法,建议开机自动运行Ad-aware.

c.Safe mode (always ask confirmation),安全模式(总是问确认),选择这项后,Ad-aware所作任何行动都将要求确认。高度建议选择此项。

d.Automatically remove all references found(自动清除所有已发现的参照)。建议不使用,因为有些标准一般用户是无法判断的。
这是重要选项,除非你肯定地确定清除任何Ad-aware承认的参照,否则不要使用它。如果被设置,Ad-aware将自动清除任何参照。全部活动都将写进记录文件。如果你使用这特点,我们也非常推荐使用'Auto save log file' 。

重要:如果Ad-aware察觉Web3000被安装,代替Wsock32.dll,Web3000参照将不自动被除掉。

e.Auto save log file
如果你每次都希望Ad-aware自动保存记录文件,请选择此项。这样与扫描结果无关的内容也将被写进纪录。

如果Ad-aware没有检测参照,记录文件将扫描后保存或者在清除过程后存盘。你在下边输入的路径名进入,如果该路径不存在将被创建或者选择一个可写的共享文件夹。

f.语言:
Ad-aware在ad-aware\Lang的文件夹中寻找语言模数。他们将在这在改变语言的list.After中被展览单击继使新设定活化。其他的不介绍。

(2)Additional Optionen,

下面的选项主要在Additional Optionen的plus options中。
A:plus options
a.Add "Scan with Ad-aware" to explorer context menu,如果这项被选,在文件夹或drive(如:c;a:)鼠标右击出现 "Scan with Ad-aware"。
b.Automatically remove files in use after rebooting
重新起机后将自动清除这些文件,没有必要重新起机后再进行扫描。
c.Hide splashcreen at startup,在启动时,装载Ad-aware时,允许关掉Ad-aware的主界面。
d.Play alarm sound if spyware was found,当有间谍程序被发现时将有声音告警。

B:下面是纪录文件的纪录等级,在logfile detaillevel下:
a.Include additional process information,显示一些有关细节信息,比如什么时间创建了什么,或者一些优先度的信息。
b.Include additional file information,包括补充性的文件信息。
建议这两项全部选择是记录更清楚。
C: Total spyware components removed,显示您的系统有多少间谍软件被清除!单击橡皮图标清除所有间谍程序。

(3) configration-->paths该项是一些文件路径如:logfile(记录文件),ref.file,reghance,wave-file(告警文件),backups(备份文件)。

5.命令行参数
用命令行参数运行Ad-aware时非常有用的,一般情况下Ad-aware的默认文件名为ad-aware.exe.

支持下列指令:
/auto=自动运行adaware,ad-aware将自动搜寻,除掉任何间谍程序。建议和/log参数一起使用。
/hide=最小化方式,扫描期间Ad-aware不弹出来。自动的方式也使用这个参数。
/log (destination) = 存盘路径。
如:/log C:\Temp,将把记录文件保管在C : \Temp文件夹──在文件名中包括扫描的日期和时间。如果没有指定的文件夹或文件夹无效(原因自己不能创建新的文件夹),此文件保存在ad-aware文件夹(ad-aware安装文件夹)!
/full=完全扫描方式,如果这参数被使用,Ad-aware将搜寻内存,注册表和已知安装的硬盘。

例子:ad-aware.exe /auto /hide /log,Ad-aware将让最小化,自动方式的,自动储备记录文件。
我想这在批处理文件中是和很好的。

重要一点:如果Ad-aware察觉那个Web3000已经被安装了,并且代替的Wsock32.dll,将不能把Web3000自动清除。(原文:If Ad-aware detects that Web3000 has been installed, and replaced Wsock32.dll,no Web3000 references will be removed automatically.)

6.多语言模式,Ad-aware 5.0支持固定格式的语言模式。
为了增加自己的模数,请跟着这些步:在Ad-aware被安装的文件夹中,打开"\Lang"文件夹,使“english.ini”拷贝成你想加的语言。(例如:italian模数“italian.ini”,别请改变文件扩展,它肯定一直是。ini)。详细见帮助。

二。介绍Ad-watch

Ad-watch是包括Ad-aware在内,能时时监测间谍程序。Ad-watch是在后台上运行,监测安装或修改您的系统的间谍软件。

当Ad-aware监测或清除您的系统中已知的间谍,使你的系统干净的时候,Ad-watch能在您的系统进一步捕捉类似WebHancer的spyware.如果察觉有间谍软件,Ad-aware将突然弹出,放下特别的模数,着手进行Ad-aware.

你能在优先菜单中改变优先菜单。全部活动都将在输出窗口上被纪录。Ad-aware能随windows自动启动,并最小化。双击托盘-图标,或者用托盘-菜单来返回纪录窗口。这例子中(AudioGalaxy安装期间)Webhancer安装模数被承认,立即被放下。当Ad-watch运行并且处于活动状态的时候,安装Webhancer寄生虫是不可能。甚至在安装前就能杀掉间谍程序。如果你更新Ad-aware,Ad-watch将同时被更新。

打开主菜单,单击"OPTION"或点鼠标右键弹出窗内部单击“OPTION”标记。
菜单项目

1.状态(Status)这项目用来监视系统临时文件。Ad-watch占用CPU资源很小,但是,在某种情况下,你需要对系统临时文件进行监视和记录。这样把Ad-watch设成睡眠方式。2.Auto scroll,切换输出纪录文件的方式(打开或关闭)假如你想读到输出的内容,建议关掉这个临时文件的开关。3.Preferences(优先)打开Preferences菜单,开始Ad-aware,Ad-aware将以设定有限方式开始。4.Clear log(清除纪录)全部清除输出纪录,并且复位输出窗口。5.Export log(导出纪录)用磁盘保存记录文件(就是输出窗正文)。6.About,显示版本和构造数字
注:如果点击鼠标右键,这个菜单是可见的!

2.Setting up Ad-watch,在main menu item下面或者用右键点击Ad-watch托盘图标可看到preferences菜单!单击"proceed",设置将被存储,然后点击关闭(close )按钮!"Default Settings"是默认设置,对设置不进行保存!
优先菜单(preferences menu)的描述如下:

1.优先的程度(Priority)(high normal or low)
任意选择二者(更新频率,任务优先程度)进行控制!大多数情况建议normal!
a.Auto start Adwatch,此项是随windows启动自动调用Ad-watch,并且Ad-watch将最小化!
b.Force unloading
如果被选择,任何已承认模数都将被强行unloading.如果你不想让你已知的广告接近您的系统,你应该选择这个项目。如果Ad-aware开始已被设置,模数将首先被放下,接着Ad-aware将被启动。
c.Auto pop up,Ad-watch一般是最小化的,如有告警发生时,强制弹出Ad-watch项目!或者托盘图标将变为一闪一闪的红色。双击他或者选择菜单中的"restore"返回到输出窗!
d.Launch Ad-aware
如果选择此项,当察觉有间谍程序的时候,Ad-aware将被启动。Ad-watch将一直等到Ad-aware关毕。
e.Automatic mode(自动方式),当Ad-aware被实行的时候,Ad-watch将开始自动的审视和排除!
f.Remove bad cookies(删除坏的cookies)如果被选择,检测到追踪cookies将自动被清除掉。
g.Always on top(总是顶端上)
如果被选择,输出窗将在其他窗口的顶端。
h.Snap to borders把Ad-watch 窗口拖到桌面边界讲发出“劈啪地响”。(很像Winamp)。
i.Appearance,选择输出窗口的版面。

(转载自【网络自由联盟】https://internetfreedom.org)