快來查一下你的電腦有沒有中間碟Marketsore是一個間諜軟體。間諜軟體是一種惡意程式,未經用戶同意或誘使用戶同意,安裝在電腦上,間諜軟體有洩露用戶個人資料的威脅。
解決方案
移除 ”MarketScore” 間諜軟體的步驟
第1.0版
甚麼是Marketsore?
Marketsore是一個間諜軟體。間諜軟體是一種惡意程式,未經用戶同意或誘使用戶同意,安裝在電腦上,間諜軟體有洩露用戶個人資料的威脅。
注意事項
這步驟是專為確認和移除”MarketScore" 間諜軟體而設,請按次序執行所有步驟。
在執行移除步驟之前,建議你先備份電腦上的數據(例如把文件、相片、地址簿等,備份到USB快閃記憶體,或燒錄至CD-R 或 DVD-R上)。
如果對此步驟有任何問題,請聯絡 HKCERT。
電話:81056060;電郵︴email]Ghkcert@hkcert.org[/email]
A. 檢查電腦有否感染Marketscore?
一般而言,我們難以用肉眼,分辨出電腦有否被安裝了間諜軟體。不過,某些Marketscore變種有可見的特徵,容許以「A.1. 肉眼測試」判別;如果肉眼測試沒有發現,就要用「A.2. 反間諜軟體掃描」檢查。
A.1. 肉眼測試
(i) 從控制台檢查Marketscore 軟體有否安裝
從”開始” 選擇 “設定” | “控制台” ,雙擊 "新增/移除程式” 。
從目前安裝的程式中,找尋"Marketscore" 或 "Netsetter" 或 "RelevantKnowledge"。
倘找到任何一個,表示已感染Marketscore,應跳到 “B. 移除 MarketScore詳細步驟”
(ii) 從Internet Explorer檢查Marketscore 根憑證有否安裝
開啟Internet Explorer瀏覽器,按選單表上 "工具" ,選 "網際網路選項"。
在"網際網路選項"視窗,選"內容"分頁;在"內容"分頁,按"憑證"。
在"憑證"視窗,選"信任的根目錄憑證授權"分頁。
在"發給"一欄查看是否有任何 "MarketScore Inc” 憑證" 或 “Netsetter” 憑證。
倘找到任何一個,表示已感染Marketscore,應跳到 “B. 移除 MarketScore詳細步驟”
A.2. 反間諜軟體掃描
這步驟檢查一般的間諜軟體感染,不局限於Marketscore。請到以下網址下載Ad‑aware SE Personal,安裝和掃描你的硬碟。
http://www.download.com/3000-2144-10045910....j=dlpage&tag=button 如果找不到任何間諜軟體,則你目前未受到感染;但若有找到任何間諜軟體,應跳到 B.2(b) 步驟,去移除所有找到的Critical Object。
B. 移除 MarketScore詳細步驟
B.1. 移除 MarketScore (經控制台或人手)
如果可以在控制台找到"Marketscore" 或 "Netsetter" 或 "RelevantKnowledge" 任何一個程式,可以用步驟(a) ,否則,要用步驟(b)移除 MarketScore。
(a) 經控制台自動移除 MarketScore
從”開始” 選擇 “設定” | “控制台” ,雙擊"新增/移除程式” 。
從” 目前安裝的程式” 中,找尋"Marketscore" 或 "Netsetter" 或 "RelevantKnowledge"
點選並按 ”移除” 按 鈕。
當移除完成,緊記要重新啟動視窗,然後跳到B.2 步驟。
(b) 人手移除 MarketScore
注意:如果可以在控制台移除 MarketScore,可以省去這部分。
從”開始” 選擇 “執行” ,在”開始”文字匣中輸入 ”cmd” (去掉引號””) 並按 ”確定” 鈕。命令視窗開啟。
在命令視窗內,輸入以下命令轉往system32 資料夾。
cd %SystemRoot%\system32
在命令視窗內,逐行輸入以下命令。(注意:通常衹有其中一行命令會有效移除軟體,其他的命令會產生錯誤” 找不到檔案” 。)
nscheck /uninstall
ossproxy -bootremove -uninst:RelevantKnowledge
mksc -bootremove -uninst:RelevantKnowledge
輸入 "exit" (去掉引號””) 去關閉命令視窗。
當移除完成,緊記要重新啟動視窗,然後跳到下一個步驟。
B.2. 下載反間諜軟體,去掃描你的電腦和清除間諜軟體
從以下網址,下載 Ad-adware SE Personnal到電腦桌面。
http://www.download.com/3000-2144-10045910....j=dlpage&tag=button開啟這個檔案進行安裝。
完成安裝後,按 "check for update now" 更新間諜程式樣式資料庫。
完成更新後,可以中斷網絡連線,選擇 “start” 執行掃描。
將掃描找出的所有 "Critical Objects" 項目刪除或隔離。重新啟動電腦。
B.3. 移除 "MarketScore" 植入的根憑證 (Root Certificates)
MarketScore會在瀏覽器植入的根憑證,使你經MarketScore的代理伺服器存取SSL網頁時,瀏覽器誤以為連線是可信的,不去警告你有敏感數據會被攔截。你必須遵照下面適用於你的瀏覽器的指示,移除 ”MarketScore" 植入瀏覽器的根憑證。
Internet Explorer 瀏覽器:
開啟Internet Explorer瀏覽器,按選單表上 "工具" ,選 "網際網路選項"。
在"網際網路選項"視窗,選"內容"分頁;在"內容"分頁,按"憑證"。
在"憑證"視窗,選"信任的根目錄憑證授權"分頁。
在"發給"一欄查看是否有任何 "MarketScore Inc” 憑證" 或 “Netsetter” 憑證。若發現,請選擇及按”移除” 按鈕,在移除時出現確認視窗,請按"是"確定移除。
再檢查以確定憑證已被移除。按"關閉"完成。
Netscape/Mozilla 瀏覽器:
開啟 Netscape 或 Mozilla瀏覽器。
按選單表上 "編輯",選 "喜好","喜好"視窗會顯示。
在"喜好"視窗內,在"分類",雙按"私隱和安全” ,然後按"憑證" (Certificate) 。
在"憑證"內,按 "管理憑證" 按鈕,在"憑證管理員視窗"內,按"授權"
在"憑證名稱"一欄查看是否有任何 "MarketScore Inc"憑證 或 “Netsetter"憑證。若發現,請移除任何 "MarketScore Inc"憑證 或 “Netsetter"憑證"。在移除時出現確認視窗,請按 "是" 確定移除。
再檢查以確定憑證已被移除。按"關閉"完成。
Mozilla Firefox 瀏覽器:
開啟 Mozilla Firefox瀏覽器。
按選單表上 "工具",選 "選項"。在"選項"視窗內,選"進階"。
在"進階"視窗內,按 (+) 憑證 (Certificate) 。
按 "管理憑證" 按鈕。在"憑證管理員視窗"內,按"授權” 按鈕。
在"憑證名稱"一欄查看是否有任何 "MarketScore Inc" 憑證 或 “Netsetter" 憑證。
若發現,請移除任何 "MarketScore Inc"憑證 或 “Netsetter" 憑證。
在移除時出現確認視窗,請按"是"確定移除。
再檢查以確定憑證已被移除。按 "關閉" 完成。
B.4.網絡連接 (winsock) 問題的解決辦法
在移除 ”MarketScore” 間諜軟體時,可能會令到系統的winsock (網絡驅動器) 受損。癥狀是從此不能連接TCPIP網絡。
(a) 檢查一下能否上網,若能,則可省去這步驟。
若不能上網,請遵循下面為不同視窗平台而設的步驟,重建winsock。
WinXP 視窗平台
刪除受損的注冊鍵
從”開始” 選擇 “執行” ,在”開始”. 文字匣中輸入 ”regedit” (去掉引號””) 並按 ”確定” 鈕。
在注冊表編輯器尋找下列注冊鍵,點選注冊鍵,右擊和選擇 ”刪除” ,確認 ”刪除” 。
o HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
o HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
緊記要重新啟動視窗,視窗會再產生注冊鍵。
(ii) 重裝TCP/IP
系統重新啟後,開啟 ”網路和撥號連線” ,右擊有關的網路圖示,選” 內容” 。
按 “安裝” 按鈕,選 ”通訊協定” ,再按 ”增加” 。
按 “從磁片安裝” 按鈕,輸入 “C:\Windows\inf” ,按 “確認” 按鈕。
從網絡通訊協定列表,選”Internet Protocol (TCP/IP)” ,按“確認” 按鈕。
緊記要重新啟動視窗,測試網路連線。
警告:連接或監控網路的程式,如防病毒軟體、防火牆或代理伺服器客戶端在移除間諜軟體後,均可能受影響。如果類似的情形發生,請重裝有任何應用程式。
非WinXP的視窗平台
刪除受損的TCPIP設定
開啟 ”網路和撥號連線” ,右擊有關的網路圖示,選” 內容” 。
選 ”通訊協定” ,再按” 解除安裝” ,按OK按鈕。
緊記要重新啟動視窗,視窗會刪除受損的TCPIP設定。
(ii) 重裝TCP/IP
系統重新啟後,開啟 ”網路和撥號連線” ,右擊有關的網路圖示,選” 內容” ,TCPIP選項應該消失。
按 “安裝”按鈕,選 ”通訊協定” ,再按” 增加” 。
從網絡通訊協定列表,選”Internet Protocol (TCP/IP)” ,按 “確認” 按鈕。
緊記要重新啟動視窗,測試網路連線。
B.5. 更新線上服務的密碼
注意:若在更新線上服務的密碼方面有問題,請與個別線上服務供應商的支援尋求協助。
間諜軟體運行時,會擷取你在網站登錄的身份資料,收集和記錄下來。為安全計,你應該
檢查你的線上交易記錄,有否可疑項目。
更新線上服務(如網頁電郵、線上銀行等的)的密碼。
至此,你已移除Marketscore 間諜軟體,
以下祇是推薦,而非指定的步驟。
[非指定的移除步驟]
經過上面的移除步驟後,硬碟上可能尚有一些Marketscore的殘留檔案,雖然它們都是無害的,但最好是完全清理。以下是人手的步驟。
B.6. 移除Marketscore的殘留檔案
從”開始” 選擇 “執行” ,在”開始”. 文字匣中輸入 ”cmd” (去掉引號””) 並按 ”確定” 鈕。命令視窗開啟。
在命令視窗內,輸入以下命令轉住system32 資料夾。
cd %SystemRoot%\system32
在命令視窗內,逐行輸入以下命令。(注意:通常其中幾行命令會產生錯誤” 找不到檔案” 。
del csloa.dll
del csloa.dll
del cusnns.bak
del nscheck.exe
del nscheck.lgc
del nsconfig.dll
del nsconfig.dll
del nsconfig.inf
del okshook.dll
del osmim.dll
del osconfig.dll
del ossproxy.exe
輸入 "exit" (去掉引號””) 去關閉命令視窗。
C. 保護你的系統,免再受間諜軟體攻擊
切勿安裝不明來歷的程式到系統上;安裝軟體前,清楚閱讀用戶許可同意書。
切勿安裝數碼證書到系統上,除非其可信性是毫無疑問的。
安裝反間諜軟體;經常更新間諜軟體樣式的資料;定期掃描。
修補視窗和瀏覽器的保安漏洞,避免黑客利用保安缺口,悄悄地安裝間諜軟體到你的系統上。
2005年4月15日