广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 9974 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
HK003
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x18
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] MarketScore" 间谍软体
快来查一下你的电脑有没有中间碟

Marketsore是一个间谍软体。间谍软体是一种恶意程式,未经用户同意或诱使用户同意,安装在电脑上,间谍软体有泄露用户个人资料的威胁。

解决方案

移除 ”MarketScore” 间谍软体的步骤
第1.0版
     


甚么是Marketsore?
Marketsore是一个间谍软体。间谍软体是一种恶意程式,未经用户同意或诱使用户同意,安装在电脑上,间谍软体有泄露用户个人资料的威胁。
     


注意事项
这步骤是专为确认和移除”MarketScore" 间谍软体而设,请按次序执行所有步骤。
在执行移除步骤之前,建议你先备份电脑上的数据(例如把文件、相片、地址簿等,备份到USB快闪记忆体,或烧录至CD-R 或 DVD-R上)。
如果对此步骤有任何问题,请联络 HKCERT。
电话:81056060;电邮︴email]Ghkcert@hkcert.org[/email]

A. 检查电脑有否感染Marketscore?
一般而言,我们难以用肉眼,分辨出电脑有否被安装了间谍软体。不过,某些Marketscore变种有可见的特征,容许以「A.1. 肉眼测试」判别;如果肉眼测试没有发现,就要用「A.2. 反间谍软体扫描」检查。

A.1. 肉眼测试
(i) 从控制台检查Marketscore 软体有否安装
从”开始” 选择 “设定” | “控制台” ,双击 "新增/移除程式” 。
从目前安装的程式中,找寻"Marketscore" 或 "Netsetter" 或 "RelevantKnowledge"。
倘找到任何一个,表示已感染Marketscore,应跳到 “B. 移除 MarketScore详细步骤”
(ii) 从Internet Explorer检查Marketscore 根凭证有否安装
开启Internet Explorer浏览器,按选单表上 "工具" ,选 "网际网路选项"。
在"网际网路选项"视窗,选"内容"分页;在"内容"分页,按"凭证"。
在"凭证"视窗,选"信任的根目录凭证授权"分页。
在"发给"一栏查看是否有任何 "MarketScore Inc” 凭证" 或 “Netsetter” 凭证。
倘找到任何一个,表示已感染Marketscore,应跳到 “B. 移除 MarketScore详细步骤”

A.2. 反间谍软体扫描
这步骤检查一般的间谍软体感染,不局限于Marketscore。请到以下网址下载Ad‑aware SE Personal,安装和扫描你的硬碟。
http://www.download.com/3000-2144-10045910....j=dlpage&tag=button

如果找不到任何间谍软体,则你目前未受到感染;但若有找到任何间谍软体,应跳到 B.2(b) 步骤,去移除所有找到的Critical Object。


B. 移除 MarketScore详细步骤

B.1. 移除 MarketScore (经控制台或人手)
如果可以在控制台找到"Marketscore" 或 "Netsetter" 或 "RelevantKnowledge" 任何一个程式,可以用步骤(a) ,否则,要用步骤(b)移除 MarketScore。

(a) 经控制台自动移除 MarketScore
从”开始” 选择 “设定” | “控制台” ,双击"新增/移除程式” 。
从” 目前安装的程式” 中,找寻"Marketscore" 或 "Netsetter" 或 "RelevantKnowledge"
点选并按 ”移除” 按 钮。
当移除完成,紧记要重新启动视窗,然后跳到B.2 步骤。

(b) 人手移除 MarketScore
注意:如果可以在控制台移除 MarketScore,可以省去这部分。
从”开始” 选择 “执行” ,在”开始”文字匣中输入 ”cmd” (去掉引号””) 并按 ”确定” 钮。命令视窗开启。

在命令视窗内,输入以下命令转往system32 资料夹。
cd %SystemRoot%\system32
在命令视窗内,逐行输入以下命令。(注意:通常衹有其中一行命令会有效移除软体,其他的命令会产生错误” 找不到档案” 。)
nscheck /uninstall

ossproxy -bootremove -uninst:RelevantKnowledge

mksc -bootremove -uninst:RelevantKnowledge

输入 "exit" (去掉引号””) 去关闭命令视窗。
当移除完成,紧记要重新启动视窗,然后跳到下一个步骤。


B.2. 下载反间谍软体,去扫描你的电脑和清除间谍软体
从以下网址,下载 Ad-adware SE Personnal到电脑桌面。
http://www.download.com/3000-2144-10045910....j=dlpage&tag=button
开启这个档案进行安装。
完成安装后,按 "check for update now" 更新间谍程式样式资料库。
完成更新后,可以中断网络连线,选择 “start” 执行扫描。
将扫描找出的所有 "Critical Objects" 项目删除或隔离。重新启动电脑。



B.3. 移除 "MarketScore" 植入的根凭证 (Root Certificates)
MarketScore会在浏览器植入的根凭证,使你经MarketScore的代理伺服器存取SSL网页时,浏览器误以为连线是可信的,不去警告你有敏感数据会被拦截。你必须遵照下面适用于你的浏览器的指示,移除 ”MarketScore" 植入浏览器的根凭证。

Internet Explorer 浏览器:
开启Internet Explorer浏览器,按选单表上 "工具" ,选 "网际网路选项"。
在"网际网路选项"视窗,选"内容"分页;在"内容"分页,按"凭证"。
在"凭证"视窗,选"信任的根目录凭证授权"分页。
在"发给"一栏查看是否有任何 "MarketScore Inc” 凭证" 或 “Netsetter” 凭证。若发现,请选择及按”移除” 按钮,在移除时出现确认视窗,请按"是"确定移除。
再检查以确定凭证已被移除。按"关闭"完成。

Netscape/Mozilla 浏览器:
开启 Netscape 或 Mozilla浏览器。
按选单表上 "编辑",选 "喜好","喜好"视窗会显示。
在"喜好"视窗内,在"分类",双按"私隐和安全” ,然后按"凭证" (Certificate) 。
在"凭证"内,按 "管理凭证" 按钮,在"凭证管理员视窗"内,按"授权"
在"凭证名称"一栏查看是否有任何 "MarketScore Inc"凭证 或 “Netsetter"凭证。若发现,请移除任何 "MarketScore Inc"凭证 或 “Netsetter"凭证"。在移除时出现确认视窗,请按 "是" 确定移除。
再检查以确定凭证已被移除。按"关闭"完成。

Mozilla Firefox 浏览器:
开启 Mozilla Firefox浏览器。
按选单表上 "工具",选 "选项"。在"选项"视窗内,选"进阶"。
在"进阶"视窗内,按 (+) 凭证 (Certificate) 。
按 "管理凭证" 按钮。在"凭证管理员视窗"内,按"授权” 按钮。
在"凭证名称"一栏查看是否有任何 "MarketScore Inc" 凭证 或 “Netsetter" 凭证。
若发现,请移除任何 "MarketScore Inc"凭证 或 “Netsetter" 凭证。
在移除时出现确认视窗,请按"是"确定移除。
再检查以确定凭证已被移除。按 "关闭" 完成。


B.4.网络连接 (winsock) 问题的解决办法
在移除 ”MarketScore” 间谍软体时,可能会令到系统的winsock (网络驱动器) 受损。症状是从此不能连接TCPIP网络。

(a) 检查一下能否上网,若能,则可省去这步骤。

若不能上网,请遵循下面为不同视窗平台而设的步骤,重建winsock。

WinXP 视窗平台
删除受损的注册键
从”开始” 选择 “执行” ,在”开始”. 文字匣中输入 ”regedit” (去掉引号””) 并按 ”确定” 钮。

在注册表编辑器寻找下列注册键,点选注册键,右击和选择 ”删除” ,确认 ”删除” 。
o      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
o      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
紧记要重新启动视窗,视窗会再产生注册键。
(ii) 重装TCP/IP
系统重新启后,开启 ”网路和拨号连线” ,右击有关的网路图示,选” 内容” 。
按 “安装” 按钮,选 ”通讯协定” ,再按 ”增加” 。
按 “从磁片安装” 按钮,输入 “C:\Windows\inf” ,按 “确认” 按钮。
从网络通讯协定列表,选”Internet Protocol (TCP/IP)” ,按“确认” 按钮。
紧记要重新启动视窗,测试网路连线。

警告:连接或监控网路的程式,如防病毒软体、防火墙或代理伺服器客户端在移除间谍软体后,均可能受影响。如果类似的情形发生,请重装有任何应用程式。

非WinXP的视窗平台
删除受损的TCPIP设定
开启 ”网路和拨号连线” ,右击有关的网路图示,选” 内容” 。
选 ”通讯协定” ,再按” 解除安装” ,按OK按钮。
紧记要重新启动视窗,视窗会删除受损的TCPIP设定。
(ii) 重装TCP/IP
系统重新启后,开启 ”网路和拨号连线” ,右击有关的网路图示,选” 内容” ,TCPIP选项应该消失。
按 “安装”按钮,选 ”通讯协定” ,再按” 增加” 。
从网络通讯协定列表,选”Internet Protocol (TCP/IP)” ,按 “确认” 按钮。
紧记要重新启动视窗,测试网路连线。


B.5. 更新线上服务的密码

注意:若在更新线上服务的密码方面有问题,请与个别线上服务供应商的支援寻求协助。

间谍软体运行时,会撷取你在网站登录的身份资料,收集和记录下来。为安全计,你应该
检查你的线上交易记录,有否可疑项目。
更新线上服务(如网页电邮、线上银行等的)的密码。


至此,你已移除Marketscore 间谍软体,
以下祇是推荐,而非指定的步骤。      





[非指定的移除步骤]
经过上面的移除步骤后,硬碟上可能尚有一些Marketscore的残留档案,虽然它们都是无害的,但最好是完全清理。以下是人手的步骤。

B.6. 移除Marketscore的残留档案
从”开始” 选择 “执行” ,在”开始”. 文字匣中输入 ”cmd” (去掉引号””) 并按 ”确定” 钮。命令视窗开启。
在命令视窗内,输入以下命令转住system32 资料夹。
cd %SystemRoot%\system32
在命令视窗内,逐行输入以下命令。(注意:通常其中几行命令会产生错误” 找不到档案” 。
del csloa.dll
del csloa.dll
del cusnns.bak
del nscheck.exe
del nscheck.lgc
del nsconfig.dll
del nsconfig.dll
del nsconfig.inf
del okshook.dll
del osmim.dll
del osconfig.dll
del ossproxy.exe
输入 "exit" (去掉引号””) 去关闭命令视窗。



C. 保护你的系统,免再受间谍软体攻击

切勿安装不明来历的程式到系统上;安装软体前,清楚阅读用户许可同意书。
切勿安装数码证书到系统上,除非其可信性是毫无疑问的。
安装反间谍软体;经常更新间谍软体样式的资料;定期扫描。
修补视窗和浏览器的保安漏洞,避免黑客利用保安缺口,悄悄地安装间谍软体到你的系统上。



2005年4月15日




献花 x0 回到顶端 [楼 主] From:香港 电讯盈科 | Posted:2005-04-18 15:41 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.084437 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言