一些软件强行安装运行不易删除插件，上网变慢系统不稳(附删除方法)

全站搜索

首页 -> 技术学院 -> 工具软件 -> 网络工具 -> 网络浏览

一些软件强行安装运行不易删除插件，上网变慢系统不稳(附删除方法)

2004-02-09 作者：博客中国阅读量：

自从1994年1月1日我国《消费者权益保护法》实施以来，我国消费者的权利意识不断增强。作为消费者的一项重要权利，“知情权”这个词相信大家都不会感到陌生。随便浏览一下报刊杂志，就可以看到《西安一消费者状告肯德基侵犯知情权》、《乘客诉航空公司侵犯知情权》、《某用户诉电信公司侵犯知情权》等等有关报道。

　　这些案例向我们生动地说明了一个事实：“知情权”受到了广大消费者的关注，为了“讨个说法”，消费者甚至不惜走上法庭，与经营者对簿公堂。

　　然而，一个重要的消费领域似乎被人们淡忘了，那就是软件消费。

问题的提出：

　　又是一年3·15，我们在这个时间讨论软件用户的权利问题，实在是再合适不过了。按照《消费者权益保护法》的规定，消费者的权利主要包括：人身财产安全权、知情权、自主选择权、公平交易权、索赔权等。而在消费者依法享有的各项权利中，“知情权”却是重中之重。因为，如果消费者的“知情权”没有得到尊重，他的其他权利也就无从谈起。如果软件厂商没有把软件的真实情况告诉你，安装这个软件之后，你的电脑会不会瘫痪，你的数据会不会丢失，天才知道！还谈什么财产安全和自主选择呢？

　　笔者看到某网站上的一篇文章，“有网友反映，一种叫作《IE搜索伴侣》的IE插件可能危害系统安全的搜索插件。原因便是这个插件安装后不经用户许可就删除了部分用户数据和注册表项，致使一些软件无法正常运行。”最后，又有专业技术人员通过专业工具软件进行检测和监控后声称,“发现《IE搜索伴侣》每隔1至2秒会扫描大量注册表项，并进行一些设置和删除的操作，影响系统性能。同时，这个软件还可能导致常用的Windows Update功能出现问题。”

　　同样的尴尬也发生在3721的网络实名插件上。大家都知道，3721网络实名是北京因特国风公司开发的一项互联网关键词服务，它通过在用户电脑中安装《网络实名》插件来实现《网络实名》的寻址和解析。

　　但就这样一个免费的小软件，却让北京因特国风公司走上法庭。蔡先生在某软件公司承担大型商用软件的开发工作，该大型商用软件的许多用户反映计算机系统异常死机，并经多方检测认为是安装3721网络实名软件所致。蔡先生在与3721公司协商未果的情况下，于2002年9月将3721告上法庭。他指控被告的网络实名软件非法驻留用户计算机系统，监视用户上网行为，造成用户计算机系统的异常死机。因此请求法院判令被告公司立即停止发布不经用户许可的强行驻留用户内存的3721网络实名计算机程序，并赔偿测试软件开发费、精神损失费等约60万元。

　　虽然此案以原告撤诉告终，但它留给我们的问题却值得思考：软件用户是否有权利知道软件的详细情况，并据此决定是否安装、使用、卸载？

观点交锋：

　　“知情权”是最基本的一项消费权利，按照《消费者权益保护法》第八条的规定：“消费者享有知悉其购买、使用的商品或者接受的服务的真实情况的权利。”但是，如果不是专家，哪个消费者能说清自己安装的软件是如何运行的，占用自己多少系统资源，会不会留有后门、会不会侵犯自己的隐私？

　　按照《消费者权益保护法》的规定，“消费者为生活消费需要购买、使用商品或者接受服务，其权益受本法保护”。那么，如果用户为生活消费需要而购买、使用软件产品，其权益自然也按照“消法”受到保护。也就是说，软件产品的消费者无疑也是享有“知情权”的。

　　根据上面的法律规定，软件用户可以向软件厂商要求提供软件的详细情况，包括软件的价格、生产者、用途、性能、有效期限、使用方法、占用系统资源大小、与系统的兼容性等详细情况。对于在运行过程中，是否有损害用户财产权利、隐私权利或造成系统损坏的可能，软件厂商更应当如实地向消费者告知。

　　然而，软件厂商对于上述看法并不以为然。他们也有自己的道理：

　　根据《反不正当竞争法》的规定，经营者享有商业秘密权。所谓商业秘密是指“不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取了保密措施的技术信息和经营信息。”

　　如果软件厂商随便将自己的产品详细情况、技术参数告知消费者，消费者的“知情权”确实可以得到尊重，但是，谁能保证这些消费者中没有竞争对手的密探？这种说法似乎也很有道理，并且有充足的法律根据。那么，如何解决消费者的“知情权”和软件经营者的“商业秘密”之间的冲突和矛盾呢？

两权相衡取其重：

　　黑龙江省哈尔滨市南岗区消协曾经受理过这么一起投诉：患者张先生在某中医院特诊专家处看病，发现该专家所开处方的多味中药名里，出现了奇怪的代号，患者取药地点还不在专家所在的医院。张先生由此发出质疑：我到底吃的是什么药？

　　而该专家认为，该处方是他多年的心血，之所以在关键的几味药上“加密”，是怕看出门道的同行剽窃，商业秘密得不到保护。引人关注的是，围绕这么一张“加密”的中药处方，患者指责医生用药不告知成分，侵犯了自己的知情权；医生说这是为了让自己的商业秘密不受侵害。

　　上面的例子是一个非常典型的“知情权”与“商业秘密”相冲突的案例。因为用药是人命关天的大事，而如果药方一旦泄露，是否导致老中医的经济利益会受损？

　　有一句话，叫做“两利相较取其重，两弊相较取其轻”，从某种意义上说，法律的调整过程是一个利益再分配的过程。商业秘密权保护的是商业秘密所有人的利益，知情权保护的是消费者等社会公众的利益，前者为一己之利，后者为社会公众之利，这是量的差别。另外，从性质上说，前者保护的是经济利益，后者保护的是生命财产和数据的安全，这是质的差别。所以无论是从量上，还是从质上，立法和司法的天平都应向消费者倾斜，优先保护消费者的知情权。

　　再加上软件是一种特殊的产品，它是要安装于用户的计算设备中，与其他软件协同工作的。如果用户未被告知重要软件特性，而导致某个软件出现问题，可能导致多个软件出现问题，甚至出现系统崩溃、数据丢失等恶性事故。虽然各个软件厂商一般都会在使用协议中规定免责条款，但根据新《合同法》相关规定，这种免责条款的效力本身就值得怀疑。

　　因此，软件厂商应当向消费者全面地告知其软件的运行信息，尤其是软件的安全信息、隐私保护信息和兼容性信息，否则就是侵犯了消费者的知情权。当然，消费者有权利了解的仅是与自己的安全使用行为密切相关的软件信息，而对于其他信息（例如软件产品的源代码、设计流程、模块结构及某些特殊设计），则应当尊重软件厂商的合法权利，作为商业秘密予以保护。

编后：
　　软件的最大特性之一便是需要在软件环境中才能体现其价值。但软件环境的多样性却导致消费者购买软件时无法确认该软件是否能够正常使用，有鉴于此，用户在购买软件时，有必要详细查询该软件的技术信息和安全性信息。如果有你认为重要的信息对方没有提供，你是有权要求销售商或者生产商予以提供的。

细说3721网络实名“病毒”（含部分源代码） chutium（原作）
关键字 3721 网络实名病毒源代码
作者：邱腾（chutium）

较早前发表于 http://www.yesky.com/　最近浏览一些门户网站时，会不知不觉的被安装上一个名为“3721网络实名”的IE插件。虽说这些门户网站和3721本是好意，可是这样单方面地安装上这么一个插件有点不妥！之所以说它是病毒，因为它同样是开机自动启动，而且虽然带来一些方便，但是使系统运行的极不稳定，拖慢上网速度。在s8s8.net的论坛上看到很多网友都说关机时经常会出现 explorer.exe 出错的提示。我也是同样深受其害，仔细研究了一下，问题就出在这个“3721网络实名”上！更可气的是，可能是由于程序做的比较仓促，完全没有卸载功能！

　　这里附上它的源代码，通过代码可以看出这不是木马。不过程序写的很烂……
#include "windows.h"#include "winbase.h" void main(){ char buf[MAX_PATH];
::ZeroMemory(buf, MAX_PATH);
::GetWindowsDirectory(buf, MAX_PATH); char filename[MAX_PATH];
::ZeroMemory(filename, MAX_PATH); strcpy(filename, buf); strcat(filename, "\\Downloaded Program Files\\CnsMinIO.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH); strcpy(filename, buf); strcat(filename, "\\Downloaded Program Files\\CnsMin.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH); strcpy(filename, buf); strcat(filename, "\\Downloaded Program Files\\cnsio.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT); }

下面将给大家卸载这个插件的详细过程：

　　由于这个3721网络实名插件是使用Rundll32.exe调用连接库的，系统无法终止Rundll32.exe进程，所以我们必须重新启动计算机，按 F8 进入安全模式（F8 只能按一次，千万不要多按！）之后，单击开始 -> 运行 regedit.exe 打开注册表，进入：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\删除键：CnsMin其键值为：Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32（如果是win98，这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\删除整个目录：!CNS这个目录在 Internet 选项 -> 高级中加入了3721网络实名的选项。
HKEY_LOCAL_MACHINE\SOFTWARE\3721\ 以及 HKEY_CURRENT_USER\Software\3721\删除整个目录：3721注：如果您安装了3721的其它软件，如极品飞猫等，则应删除整个目录：HKEY_LOCAL_MACHINE\SOFTWARE\3721\CnsMin　　以及　HKEY_CURRENT_USER\Software\3721\CnsMin
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\删除键：CNSEnable 其键值为：a2c39d5f删除键：CNSHint 其键值为：a2c39d5f删除键：CNSList 其键值为：a2c39d5f
在删除完注册表中的项之后，还需要删除存储在硬盘中的3721网络实名文件。
删除如下文件：
C:\WINNT\DOWNLO~1 目录下（这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\ 下同）
2001-08-09 15:34 37212001-08-02 17:03 40,960 cnsio.dll2001-08-08 14:14 102,400 CnsMin.dll2001-08-24 23:14 42 CnsMin.ini2001-08-09 10:18 13,848 CnsMinEx.cab2001-07-06 17:57 32,768 CnsMinEx.dll2001-08-25 02:52 115 CnsMinEx.ini2001-08-25 02:51 17,945 CnsMinIO.cab2001-08-02 17:02 32,768 CnsMinIO.dll2001-08-24 23:15 40,793 CnsMinUp.cab
C:\WINNT\DOWNLO~1\3721 目录下
2001-08-02 17:03 40,960 cnsio.dll2001-08-24 15:53 102,400 CnsMin.dll2001-07-06 17:59 213 CnsMin.inf2001-08-24 15:48 28,672 CnsMinIO.dll
以上文件全部删除，这样3721网络实名“病毒”就从您的计算机中全部清除了。
最后，重新启动计算机，进入正常模式。现在已经完全没有3721网络实名的捆饶了！

发信人: yahoo (吃小鸟的猫猫虫), 信区: Software
标题: 彻底清除紫光3.0自带的百度垃圾
发信站: 燕赵 BBS (Thu Apr 3 08:00:54 2003), 转信

安装紫光3.0后会出很多问题，比如QQ和foxmail不能安装等
一定要把百度的那个什么IE搜索删除干净
这个自带了百度的垃圾
那些问题都是百度造成的
删除干净以后就好用了
先反安装那个破烂，然后重启，如果还是不能解决的話，看下面
百度插件开机自动运行一个叫“BIE”的进程，拖慢上网速度，使系统运行极不稳定，在
有的杀毒软件论坛里用户在声讨这个插件，很多网友发现百度插件安装后不经用户许可
就删除用户硬盘数据和注册表项，致使一些软件无法正常运行，并使很多应用程序无法
安装，更可怕的是百度这个叫“BIE”的后台程序隐藏运行，在系统配置程序里删不掉，
其对应的注册表项删除后又自动恢复，与病毒的特征完全一样。在金山毒霸的论坛里还
有网友反应百度插件与中国游戏中心在线客户端、影音卫士等软件冲突，关机时经常会
致使IE出错，Realplayer出错，系统不得不重装。
由于这个百度IE插件用正常的卸载方法根本不能完全卸载，下面给大家介绍完全卸载这
个插件的详细方法。
由于这个百度IE插件是使用Rundll32.exe调用连接库的，系统无法终止Rundll32.exe进
程，所以我们必须先重新启动计算机，按 F8 进入安全模式（F8 只能按一次）之后，单
击开始 -> 运行 regedit打开注册表，进入：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除键：BIE 其键值为：Rundll32 C:\WINNT\DOWNLO~1\BDPlugin.dll,Rundll32（如果
是win98，这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\）
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\ACCE
SSIBILITY
删除键：BDSEARCH，此键在 Internet 选项 -> 高级中加入了百度IE搜索伴侣的选项。

HKEY_CLASSES_ROOT
删除键：BDHlprObj.BDHlprObj
删除键：BDHlprObj.BDHlprObj.1
删除键：BDHook.BDSrchHook
删除键：BDHook.BDSrchHook.1
删除键：BDHook.URLBDHook
删除键：BDHook.URLBDHook.1
删除键：BDPlugins.Interceptor
删除键：BDPlugins.Interceptor.1
HKEY_CLASSES_ROOT\CLSID
删除键：{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
删除键：{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_CLASSES_ROOT\TypeLib
删除键：{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID
删除键：{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
删除键：{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib
删除键：{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units

删除键：{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
删除键：{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
删除完注册表中的项之后，还需要删除存储在硬盘中IE搜索伴侣的文件。
删除如下文件：C:\WINNT\DOWNLO~1 目录下（98下为 C:\WINDOWS\DOWNLO~1\ 下同）
BDEX.DLL 24576 12-25-02 11：43
BDPLUGIN.DLL 49152 12-25-02 11：44
BDSRHOOK.DLL 32768 12-25-02 11：45
BDHELPER.DLL 36864 12-25-02 11：52
BDSEARCH.INF 1507 12-28-02 9：48
以上文件全部删除，这样百度IE插件就基本上从你的计算机中全部清除了。最后，重新
启动计算机，进入正常模式就不再有百度插件的侵害了

--
※ 来源:□燕赵 BBS bbs.hbu.edu.cn□[FROM: tobbs.hbu.edu.cn]

“万花谷”网站恶意病毒“陷阱”分析介绍及修复代码　作者：邱腾（chutium）新浪科技报道：　国家反病毒应急处理中心联防单位北京江民公司的反病毒应急小组最近监测到国内有心怀不轨的人到处在互连网上散发一个美丽诱人的网址"万花谷"，这实际是一个恶意"陷阱"，有人经不住诱惑，只用鼠标轻轻点一下，计算机就立即瘫痪了，这是有人利用Java最新技术进行破坏的又一个恶意网址。北京江民公司提醒广大上网用户注意严加防范，遇到有On888.xxx之类的网址请不要点击，并开启KVW3000的病毒实时监视防火墙进行防杀。该病毒的技术特征：JS/On888是一个新的含有有害代码的ActiveX网页文件，它通过在一个网络地址来对计算机用户造成破坏,其破坏特性如下：　(1)用户不能正常使用WINDOWS的DOS功能程序；　(2)用户不能正常退出WINDOWS，　(3)开始菜单上的"关闭系统"、"运行"等栏目被屏蔽，防止用户重新以DOS方式启动，关闭DOS命令、关闭REGEDIT命令等。　(4)将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。具体的表现形式是：　a：网络地址是：www.on888.xxx.xxx.com；　b：在IE的"收藏夹"中自动加上"万花谷"的快捷方式,网络地址是："http://96xx.xxx.com";下面，作者提供病毒代码的分析，及对其修复的代码：之所以将病毒命名为JS/xxxxx，其原因就是因为它是在页面中使用了恶意的JavaScript代码：首先，让我们看看HTML页面是如何修改IE标题的：原因是利用了下面这段JavaScript代码修改了HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ 和 HKCU\Software\Microsoft\Internet Explorer\Main\ 中的Window Title这个键的键值；并修改了用户的许多IE设置，如消除RUN按纽、消除关闭按纽、消除注销按纽、隐藏桌面、隐藏盘符、禁止注册表等以下就是这个病毒的代码：以下是利用一段类似的JavaScript代码修复各项的键值：作者提供了以上程序，大家可以根据自己对注册表的了解自行修改走走形式……声明，本段代码仅供学习使用，不要将本段代码用在不正当的途径！此话题经过格式编辑。

责任编辑：yuan
文章来源：博客中国 2004-02-09