计算机世界：谁动了我的电脑

　　刘菁菁

　　【计世网特稿】不久前，报社不少同事桌面上出现了 “新浪游戏总动园”、“燃烧战车”等游戏图标，点击后将直接连接到igame.sina.com.cn/，转入新浪网iGame游戏界面。事实上大部分人都没有登陆过新浪游戏，面对突然莫名出现在自己桌面的游戏图标，大家难免产生疑问：“究竟是谁动了我的电脑？”

　　事实上，动了我们机器的既不是我们的同事也不是家人，而是大名鼎鼎的新浪网。经调查发现，这是新浪利用用户的系统漏洞传播的一个类似于病毒的小插件——用户登陆新浪页面时，IE在后台自动下载ActiveX控件并安装，产生名为nmgamex.dll、sinaproc327.exe、csrss.exe的三个常驻文件，并且在系统启动项中自动加载。也就是说，如果用户没有及时发现并终止这两个文件，系统就会自动在桌面生成 “新浪游戏总动园”及“燃烧战车”等游戏的快捷方式。不仅如此，新浪还将NMgamex.dll文件与系统启动文件rundll32.exe进行绑定，并且伪造系统文件csrss.exe，产生一个同名的文件与系统绑定加载到系统启动项内，导致用户无法直接关闭系统进程后删除。因此，自2004年下半年开始，登陆新浪且本身机器未安装过Windows SP2补丁的用户开始频繁中招，网上抗议者甚众，部分网站甚至将其列入恶性病毒行列，并应运而生了“新浪游戏总动园病毒专杀工具”。

　　近日，记者再次访问新浪新闻中心时发现，igame弹出窗口已经消失，新浪的用户终于摆脱了使其困扰已久的新浪游戏强制推广方式。

　　强制性IE插件：有多少权利可以被侵犯

　　通过IE插件进行强制推广的网站，新浪并不是始作俑者。最早以插件方式安装软件的网站首推3721，在见证了3721奇迹般的推广速度后，CNNIC、8848、百度、新浪以及现在的淘宝等网站也迎头赶上，纷纷借鉴此方式进行强制性推广。

　　提起大名鼎鼎的3721插件，许多网民已经到了“谈虎色变”的地步。3721网络实名是Internet Explorer的一个插件，提供中文实名网址和搜索功能。3721的覆盖面之广，已不必说，基本上只要网民浏览网页，就必然会与3721不期而遇。基于各种原因，很多网站会向来访者推荐3721插件，在这之前网页首先要检测你的电脑中到底有没有安装3721插件，已安装了插件的机器可以继续浏览网页，而没有安装插件的网民，则要等待浏览器下载安装文件，然后询问是否安装。在这个检测和下载的过程中，许多浏览器都可能进入一种不响应的状态，甚至会引起死机，严重干扰了用户对网页的浏览。为了避免这样的情况频繁发生，大部分网民选择屈服，安装了3721插件。但是，噩梦开始了。由于种种原因，在方便用户上网之余，3721还搞了不少小动作，例如采用后台运行，随系统启动而启动、拖慢上网速度、造成系统不稳定、导致电脑关闭时经常会出现Explorer.exe 出错的提示等。更可怕的是，早期的3721插件完全没有卸载功能。虽说3721列出：“今后如果您认为不需要，可以随时通过控制面板中的‘添加/删除程序’完全卸载实名插件以关闭实名功能。”而事实上用户却不能通过控制面板“添加/删除程序”删除3721插件程序，一旦被其粘上就无法摆脱，用户不得不手工删除注册表相关信息和文件。

　　由于3721有意无意的“系统缺陷”给诸多的网民带来了数不胜数的麻烦，诸多网络高手屡出新招，不断发布如何屏蔽最新3721插件的方式，其方法之多之详，令人吃惊之余，也不免感叹3721出众的“凝聚力”，使得如此多的用户不约而同一致抵制。一些杀毒软件，还曾经把3721网络实名列为病毒。由此不难看出3721的影响之深。新版的3721插件虽然据说进行了改进，修正了某些系统问题，并已经添加了完全卸载功能，但是在多数用户眼里，它早已是说惯了“狼来了”的小孩，纵然再怎么巧舌如簧，许多用户也再不敢买3721的账。

　　而作为搜索门户之一的百度，不仅有独立的网站提供搜索服务，而且还向许多门户网站、个人站点提供搜索技术，此外百度还有由数万个个人网站组成的强大的网站联盟，累计加起来，百度每天的浏览量接近5000万人次左右，远远超过了新浪、搜狐、网易等门户网站。只要出现百度的搜索结果，几乎就能看到百度弹出的插件。即使用户拒绝安装，“百度IE伴侣”也会隐藏在如紫光拼音等某些常用软件中悄然进驻使用者的计算机。

　　记者的一位朋友，近期就不慎中了百度的招。百度插件开机自动运行“BIE”进程，拖慢上网速度，使系统运行极不稳定，在网上搜索发现，该插件安装后可不经用户许可就删除用户硬盘数据和注册表项，致使一些软件无法正常运行，每隔1至2秒会扫描大量注册表项，并进行一些设置和删除的操作，影响系统性能。同时，这个软件还可能导致常用的Windows Update功能出现问题。更可怕的是百度这个叫“BIE”的后台程序隐藏运行，在系统配置程序里删不掉，其对应的注册表项删除后又自动恢复，与病毒的特征完全一样。还有用户反应百度插件与中国游戏中心在线客户端、影音卫士等软件冲突，关机时经常会致使IE出错。

　　为了安全起见，朋友打算卸载此插件，但是却找不到删除的方法，桌面上没有删除的图标，添加删除程序项里面也没有。使用Google一查——很多人也在和他一样，到处寻找如何删除的办法，一些人的求援标题写得极为搞笑：“跪求卸载百度插件的方法”、“脱衣求...”、“泣血求...”、“卖身求...”，看来，中招儿的人还真不少。大多都是在毫不知情的情况下吃了百度的哑巴亏。

　　而最令人匪夷所思的则是去年12月份，8848开发的一款名为Mysearch的软件，许多用户反映，安装这款插件后，搜索速度明显降速，用户在各大网站搜索时只要点击8848插入的图片，就会自动访问8848。而用户在安装此软件前，并不知此插件的危害，此插件只能由专业人员通过修复计算机注册表才能卸载。且上网用户安装此插件后，登陆百度、Google、中搜、新浪、搜狗等网站搜索信息时，各大搜索引擎页面均会被修改，出现8848插入的图片、广告及其他搜索引擎链接。

　　如果说插件的强行安装、相互覆盖用户还可以接受，8848插件篡改了搜索结果的最终内容则让用户忍无可忍——装与不装我们无法选择，如今，看与不看也已经不是网民能够自主决定的事情。面对各种插件越来越强硬的强盗手段，许多网民不由感慨：“究竟还有什么权利，是强制性IE插件不敢侵犯的？”

　　百度、3721、8848等等网站未经用户许可强制推广插件的问题，早已成为互联网上声讨的热门。这些插件多数采用了Hook技术，经常导致电脑运行不正常、死机、访问网站出错、无法完全卸载，最匪夷所思的是，有些插件还设置了后门，以获取用户信息。这几乎已经是彻头彻尾的病毒。

　　强制性IE插件这种过分“自做多情”的安装及运行方式，早已在网民中引起了强烈的抵触情绪，不少网民干脆称百度IE伴侣、3721插件、CNNIC插件、新浪游戏插件是垃圾，其中3721插件还获得“3721病毒”的殊荣。

　　插件技术发明的初衷，是为了方便用户，使用户只要登录网站，就能获得最新的软件版本，不需要自己到处搜索，颠覆了早期的软件安装方式，也曾经获得用户的接受与赞许。新浪游戏、百度IE伴侣、3721上网助手等插件编写的初衷，也是为了方便使用者。但是，凡事都该有个限度，在“助人为乐”之前，至少要清楚被助者是否真的有这方面的需要，而不该是死缠烂打，不管用户是否需要，装了再说，甚至上升到随意篡改用户搜索信息的地步。用户是各大网站发展及壮大的最终利益来源，水能载舟亦能覆舟。任何有利的技术一旦成为了强制性的推广工具，忽略的用户的个人感受与意愿，必然会引起用户的不满与抵触，严重的还会使用户不得不诉诸法律以求解决。

　　早在2002年底， 3721就因网络实名软件非法驻留用户计算机系统，监视用户上网行为，造成用户计算机系统的异常死机被告上法庭。虽然此案以原告撤诉告终，但它留给我们的问题却值得思考：软件用户是否有权利知道软件的详细情况，是否有对软件安装与否的最终选择权？

　　纷争不止，利益之争何时休

　　而用户提起的诉讼毕竟还是少数，真正的硝烟，却是燃起在各大网站之间。自互联网出现至今，网络规范一直是一个暧昧且模糊的问题，这或许暗合了中国的一句老话：“公道自在人心。”而能创造最终利益的并不是公道，而是用户占有率。于是，在日益激烈的竞争中，各大门户也难免互踩，凭借一些并不公道的小手段，打击或者削弱对手。

　　2003至今，涉及到IE搜索插件的官司不断，一度闹得沸沸扬扬，说到底，不过是利益之争。先是3721状告CNNIC恶意屏蔽——当用户在微软IE浏览器中安装了其网络实名软件后，当再安装CNNIC的通用网址后，网络实名软件的相关程序和数据信息就会遭到有针对性的破坏和删改；紧接着百度控告3721不正当竞争——3721插件一直屏蔽百度IE搜索伴侣插件，造成百度IE搜索伴侣无法下载和正常运行，因此导致数百万百度用户无法使用百度IE搜索伴侣，同时让诸多网民对百度提供的插件服务产生误解；再下来是8848指控百度对其服务器进行攻击——1月中旬，8848突然对外宣称百度利用其搜索联盟攻击8848网站，导致全面瘫痪，错愕中的百度在沉默不久后，终于公开抨击8848炒作；接着是中搜、百度几乎同时起诉8848插件篡改搜索结果——上网用户安装8848 Mysearch插件后，登陆百度、Google、中搜、新浪、搜狗等网站搜索信息时，各大搜索引擎页面均会被修改，出现8848插入的图片、广告及其他搜索引擎链接。

　　涉及到IE搜索插件的官司如同一个神奇的“莫比乌斯带”，当用刷子油漆这个它时，能连续不断地一次就刷遍整个曲面。诸多门户就在这个曲面上艰难的爬行，你方告罢我登场，争夺不休，看似谁都有理，而事实上只是同时站在利益这个大曲面上，当真正进行严格的法律界定时，谁都没有清白无误的时候。

　　地址栏资源争夺也好，产品和技术陷阱也罢，客户所能带来的最终利益，才是多家争夺的焦点。强制性IE插件的本质，或多或少的都侵犯了网络用户的隐私权益，而用户却却投诉无门，只能任由商业公司极尽网络“黑客”手段进行骚扰而被动抵制。这一方面是政府缺乏相关监管法规，一方面也说明了行业规范的缺失。

　　在CNNIC与3721关于插件的争执不下时，CNNIC寻求了各大搜索引擎商、合作伙伴的支持，起草并发布了一份行业规范，这在一定程度上平息了部分厂商之间的纷争。 历史上，百度、CNNIC、3721通过诉讼也曾解决了之间诸多纠缠不清的问题，令后续的发展改观甚大。而谁能给用户一个说法，谁能在平息这些门户网站利益纷争的同时，制止这些互联网上的投机取巧行为，维护用户的利益？这或许还是一个旷日持久的问题。各大网站在不断从用户手中获取利益的同时，也视若无睹的对用户的权益不断侵犯，用户对这种无视与侵犯所能忍耐底线究竟还有多远，这或者也应该是各大网站继续推行强制性IE插件时，应该或多或少的考虑到的问题。

　　背景材料一：

　　1.什么是插件?

　　插件是指会随着IE浏览器的启动自动执行的程序。

　　2.恶意插件有什么特征?

　　有些插件程序能够帮助用户更方便浏览因特网或调用上网辅助功能

　　,也有部分程序被人称为广告软件(Adware)或间谍软件(Spyware)。此类恶意插件程序监视用户的上网行为，并把所记录的数据报告给插件程序的创建者，以达到投放广告、盗取游戏或银行账号密码等非法目的。

　　因为插件程序由不同的发行商发行，其技术水平也良莠不齐，插件程序很可能与其他运行中的程序发生冲突，从而导致诸如各种页面错误，运行时间错误等等现象，阻塞了正常浏览。

　　3.插件会从什么位置加载到IE浏览器中?

　　根据插件在浏览器中的加载位置，可以分为工具条(Toolbar)、浏览器辅助(BHO)、搜索挂接(URL SEARCHHOOK)、下载ActiveX(ACTIVEX)。

　　4.不同类型插件名词解释

　　①下载ActiveX(ACTIVEX):

　　ActiveX插件也叫做OLE控件或OCX控件,它是一些软件组件或对象，可以将其插入到WEB网页或其它应用程序中。在因特网上。ActiveX插件软件的特点是：一般软件需要用户单独下载然后执行安装。而ActiveX插件是当用户浏览到特定的网页时，IE浏览器即可自动下载并提示用户安装。

　　ActiveX插件安装的前提是必须先下载，然后经过认证，最终用户确认同意方能安装，因此嵌有ActiveX脚本程序的页面可能会变得非常慢，甚至导致浏览器瞬间失去响应。

　　②浏览器辅助(BHO)

　　BHO全称Browser Helper Object, 是一种随因特网浏览器(如IE)每次启动而自动执行的小程序。通常情况下，一个BHO文件是由其它软件安装到用户的系统中的。例如一些带有下载功能的广告软件，它可能会安装一个BHO文件从而追踪用户在上网冲浪遇到的众多网页广告。

　　通常的BHO会帮助用户更方便地浏览因特网或调用上网辅助功能，也有一部分BHO被人称为广告软件(Adware)或间谍软件(Spyware)，它们监视用户的上网行为并把记录的相关数据报告给BHO的创建者.BHO也可能会与其他运行中的程序发生冲突,从而导致诸如各种页面错误,运行时间错误等等现象,通常阻止了正常浏览的进行。

　　③搜索挂接(URL SEARCHHOOK)

　　用户在地址栏中输入非标准的网址,如英文字符或者中文的时候,当地址栏无法对输入字符串解释成功时,浏览器会自动打开一个以用户输入的字符串为搜索词的结果页面,帮助用户找到需要的内容。URLSearchhook对象就是完成搜索功能的插件。它通常是由第三方公司或者个人开发，通过插件的方式安装到浏览器上，目的是为了帮助用户更好的使用互联网。例如用户在地址栏中输入“手机”，就可以直接看到手机搜索结果。也有一些企业或者个人为了达到提高网站访问或其他商业目的，在用户不知情的情况下修改IE浏览器的URLSearchhook。

　　④工具条(Toolbar)

　　通常指加载在浏览器的辅助工具。它位于浏览器标准工具条的下方,在IE工具栏空白处点击右键,可以查看所有已经安装的工具条,通过勾选显示或者隐藏已安装的工具条。

　　背景材料二：

　　保护与自我保护

　　现今网络强制性IE插件横行，不知何时我们的机器就会中招，为了安全起见，自我保护的方式必不可少。还没有被这些插件击中的用户，可通过升级Windows系统，安装Windows XP SP2插件，调整IE安全级别等方式保护自己的机器不被IE插件改动。已安装了类似插件的用户，可通过如下方式完全卸载该类插件，解决后顾之忧。

　　调整IE浏览器的安全级别

　　点击IE浏览器“工具”菜单的“Internet选项”的“安全”标签,此时看到您的安全级别应该处于“低”的位置,即“下载大多数内容,且无下载提示”。为了抵抗不明插件,请将IE的安全级别调整至“中”的位置,“下载潜在不安全的内容之前给予提示”、“不下载未签名的ActiveX控件”。调整了IE浏览器的安全级别,再遇到插件的时候, IE会弹出一个签名提示框,询问是否需要安装此插件。当每次遇到插件时,最好要仔细阅读签名框再进行操作,确保不会误操作。

　　新浪“游戏总动园”卸载方法

　　删除方法：首先修改注册表，关闭名为启动项nmgamex.dll、csrss.exe，然后删除nmgamex.dll、sinaproc327.exe两个文件，再修改csrss.exe文件为任意一个文件名。重新启动计算机后删除修改的csrss.exe文件。

　　WIN2K操作系统，动项键值如下：

　　1、启动名称为：nmgamex_autorun 类型：REG_SZ 键值：C:WINNTsystem32Rundll32.exe NMGameX.dll,LiveProcess/aa

　　2、启动名称为：csrss.exe 类型：REG_SZ 键值：C:WINNTcsrss.exe

　　文件所在目录：

　　csrss.exe c:winntcsrss.exe; 正确的系统文件目录为：c:winntsystem32csrss.exe;

　　cctv5.exe c:cctv5.exe;

　　sinaproc327.exe c:winntsystem32sinaproc327.exe;

　　NMWizardA14.exe c:winntNMWizardA14.exe

　　nmgamex.dll c:winntsystem32nmgamex.dll

　　察看文件NMGameX.dll属性，在版本项中可以看到如下信息：

　　备注：SPORT-新浪体育频道

　　产品版本：1，0，0，24

　　产品名称：NMGAMEN.XEngine

　　个人用内部版本说明：无

　　公司名称：NMGameX

　　合法商标：无

　　内部名称：NMGameX

　　特殊内部版本说明：无

　　语言：中文(中国)

　　源文件名：NMGameX.dll

　　卸载百度插件的方法：

　　1.重新启动计算机，按 F8 进入安全模式(F8 只能按一次)

　　2.单击 开始 -> 运行 regedit打开注册表，进入：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除键：BIE 其键值为：Rundll32 C:\WINNT\DOWNLO~1\BDPlugin.dll,Rundll32(如果是win98，这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\)

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\ACCESSIBILITY

　　删除键：BDSEARCH，此键在 Internet 选项 -> 高级 中加入了百度IE搜索伴侣的选项。

　　HKEY_CLASSES_ROOT

　　删除键：BDHlprObj.BDHlprObj

　　删除键：BDHlprObj.BDHlprObj.1

　　删除键：BDHook.BDSrchHook

　　删除键：BDHook.BDSrchHook.1

　　删除键：BDHook.URLBDHook

　　删除键：BDHook.URLBDHook.1

　　删除键：BDPlugins.Interceptor

　　删除键：BDPlugins.Interceptor.1

　　HKEY_CLASSES_ROOT\CLSID

　　删除键：{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}

　　删除键：{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}

　　HKEY_CLASSES_ROOT\TypeLib

　　删除键：{CE7C3CE2-4B15-11D1-ABED-709549C10000}

　　HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID

　　删除键：{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}

　　删除键：{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}

　　HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib

　　删除键：{CE7C3CE2-4B15-11D1-ABED-709549C10000}

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units

　　删除键：{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}

　　删除键：{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}

　　删除完注册表中的项之后，还需要删除存储在硬盘中IE搜索伴侣的文件。

　　删除如下文件：C:\WINNT\DOWNLO~1 目录下(98下为 C:\WINDOWS\DOWNLO~1\ 下同)

　　BDEX.DLL 24576 12-25-02 11：43

　　BDPLUGIN.DLL 49152 12-25-02 11：44

　　BDSRHOOK.DLL 32768 12-25-02 11：45

　　BDHELPER.DLL 36864 12-25-02 11：52

　　BDSEARCH.INF 1507 12-28-02 9：48

　　以上文件全部删除，这样百度IE插件就基本上从你的计算机中全部清除了。最后，重新启动计算机，进入正常模式就不再有百度插件的侵害了。

　　禁止百度插件的方法：

　　完全删除百度插件之后，用Windows自带的记事本打开hosts文件(hosts文件是Windows里面自带的将主机名称映射到 IP 地址的一个文本格式的文件，hosts表位置，Win9x系列在C:Windows，NT、win2000平台在winntsystem32driversetc，Winxp平台在windowssystem32driversetc，如果找不到就查找一下hosts)

　　加入以下字符(IP和域名之间用一个空格间隔开)：

　　127.0.0.1 bar.baidu.com

　　127.0.0.1www.baidu.com

　　127.0.0.1 baidu.com

　　卸载3721插件的详细过程：

　　由于这个3721网络实名插件是使用Rundll32.exe调用连接库的，系统无法终止

　　Rundll32.exe进程，所以我们必须重新启动计算机，按 F8 进入安全模式之后，单击 开始 -> 运行 regedit.exe 打开注册表，进入：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

　　删除键：CnsMin

　　其键值为：Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32

　　(如果是win98，这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\)

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\

　　删除整个目录：!CNS

　　这个目录在 Internet 选项 -> 高级 中加入了3721网络实名的选项。

　　HKEY_LOCAL_MACHINE\SOFTWARE\3721\ 以及 HKEY_CURRENT_USER\Software\3721\

　　删除整个目录：3721

　　注：如果您安装了3721的其它软件，如 极品飞猫 等，则应删除

　　整个目录：HKEY_LOCAL_MACHINE\SOFTWARE\3721\CnsMin

　　以及　HKEY_CURRENT_USER\Software\3721\CnsMin

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\

　　删除键：CNSEnable 其键值为：a2c39d5f

　　删除键：CNSHint 其键值为：a2c39d5f

　　删除键：CNSList 其键值为：a2c39d5f

　　在删除完注册表中的项之后，还需要删除存储在硬盘中的3721网络实名文件。

　　删除如下文件：

　　C:\WINNT\DOWNLO~1 目录下

　　(这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\ 下同)

　　2001-08-09 15:34