第三只眼网络监控软件简单分析,试用及清除

总体感觉:界面很漂亮,功能很多,操作界面比较人性化,但性能很差,而且不是一般的差,尤其是实时临控时值传输的图片,根本没做任何算法上的优化,初步断定是VB写的

以下只是简单分析,并不包括安装客户端所产生的所有文件,而且我安装的是试用版,跟正式版可能有一定区别

敬告各位:使用这种软件对企业没有任何好处,只能让员工对公司产生更严重的消极抵触情绪!
严重BS这种恶心软件的流氓行为!

安装程序修改过的键值

HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/Windows/CURRENTVERSION/Run
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Parameters/FirewallPolicy/StandardP

rofile/AuthorizedApplications/List
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/NtGcpSvc

//以下键值绑架了TCP,UDP等协议,并更换了一些系统文件,需要从其它机器上拷文件恢复 SPI拦截方式
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_Catalog9/Catalog_En

tries/000000000001
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_Catalog9/Catalog_En

tries/000000000002
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_Catalog9/Catalog_En

tries/000000000003
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_Catalog9/Catalog_En

tries/000000000004
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_Catalog9/Catalog_En

tries/000000000005

自动运行项
C:/WINNT/system32/imjmipg.exe 该项重启后被注册成NtGcpSvc服务
需要从服务中将NtGcpSvc服务禁用,并删除自启动项

用360安全卫士或其它工具结束以下运行的进程
igfxtax.exe
spols.exe
imjmipg.exe

主要访问文件
C:/WINNT/system32/spols.exe
C:/WINNT/system32/dskpart.exe
C:/WINNT/system32/igfxtax.exe

C:/WINNT/system32/expiorer.xdc
C:/WINNT/system32/comnctt.xdc

C:/WINNT/system32/expand.dat mdb文件
C:/WINNT/system32/atraxce.dat mdb文件
C:/WINNT/system32/msvbvm5.dat mdb文件

清理硬盘时,记得清理QQ的记录,及IE的index.dat文件
index.dat位于以下三个目录中,存上有上网记录
C:/Documents and Settings/Administrator/Cookies
C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5
C:/Documents and Settings/Administrator/Local Settings/History/History.IE5