『壹』 你能說說3721上網助手(雅虎助手)怎麼流氓了嗎
我一看見3721我就暈
首先你卸載了Program Files裡面的3721不能刪除
其次注冊表裡面還有一堆東西
系統目錄裡面還有一堆垃圾
安全模式不能刪除
要去DOS(有幾個新手會? 哈哈,3721還想的"周到")才能刪除
還有一堆問題,原來沒有出專門卸載3721的軟體的時候我忙的憨完
現在有這份軟體就懶得動手了,所以忘記了
其實網上分析3721的文章已經有很多了,你自己找找就行了
看了LZ的TO,發現你連注冊表都不理解,何談3721?!?!?!!
3721對網民說:你們被我強奸了(轉自VERYCD)
學會上網之後,原本以為到達了一個更加便利的世界,然而,這個自由便利的世界卻早被3721統治。
5年時間,瘋狂掠奪統治資本
3721從1998年成立至今一直在利用微軟的瀏覽器做著自己的夢,試圖打造中國人的網路標准。用了5年時間,3721通過各種渠道、利用各種手段,讓他的網路實名插件遍布90%的中文上網用戶,而這,就是3721用5年時間積累起的統治中國互聯網的雄厚資本,3721插件,表面上是中文上網工具,實際上,背後利用簡單的病毒原理控制著網民的電腦,玩弄著中國互聯網和對技術不甚了解的7000萬網民,5年時間,積累起了足以對抗7000萬網民和的雄厚資本。
用簡單的技術愚弄著中國網民
這樣一個打著「簡單上網」旗號的3721,在程序員眼裡,甚至成為了「LJ」的代名詞。
到任何程序員聚集的站點,查看一下涉及到3721新聞的評論 90%以上都是對3721的攻擊,甚至是辱罵,更有程序員還在個人網站中標註:「如果你是3721的支持者,不要安裝本程序,本人不歡迎並拒絕其支持者使用本程序!」
首先,程序員對3721的技術一直沒有持肯定態度。在程序員看來,通過客戶端軟體將域名和中文單詞對應起來,實在沒有什麼技術可言。
最初,3721的軟體是客戶端的形式,主要通過和網站合作進行免費發放,但這種方式容易被用戶拒絕或者刪除。不久,3721採用了微軟公開的activex技術標准,將客戶端轉變為了瀏覽器插件。應該說,許多軟體均採用activex技術開發,例如flash動畫播放插件、microsoft media player插件等,這種方式也無可厚非,但3721在推行這種方式時,並沒有尊重用戶的意願,而是防不勝防的在各種網站上彈出騷擾對話框,強迫安裝。有程序員表示:「不管軟體寫的怎樣,有一點是肯定的,開發者和策略制訂者缺乏起碼的職業道德。現在所謂2000萬用戶,有多少是自願安裝的呢?又有多少是踩中地雷的呢。」同時,在早期的某些版本中,的確有造成用戶死機的案例出現並被廣泛的傳播。
因此,3721接下來就好像故意要同程序員做一些對抗的工作。為了防止卸載刪除,軟體中採用各種技術手段。有程序員說:「現在3721的插件越做越霸道。不止是修改注冊表,而是一直在你的系統里運行,並把自己偽裝起來,我曾經把cmin*.dll刪除後,用winhex查還有,是改名運行的!而且如果用softice 調程序,3721的dll總會搗亂!」 3721在煞費苦心的加入各種技巧,有的技巧與木馬病毒的原理一模一樣,所有3721的軟體在你的計算機上都開著後門,而這個後門,正是3721走進你計算機深處的通途,3721在偷窺你的時候,你,卻並不知情。
用程序員群體的眼光看,用軟體開發的某些技巧來強奸用戶的意志,這對3721是自辱,對中國互聯網是侮辱!
但是,3721為了保證其利潤來源和一個無恥的夢想,他還是選擇侮辱中國互聯網,侮辱中國網民。
黑社會手段搶奪地盤
然而3721在圓自己的美夢時卻毀掉了眾多網民的基本的使用權。眾多不知情的網民在無意下載3721插件後卻一直在被3721的夢想所左右。3721的插件也已經開始在90%的中文上網用戶打開電腦開始上網時被監控。
有懂技術的網民在論壇上發表言論時寫道:這兩天上某些網站不是很順利,開始我以為是網路的問題,可是其它網站上的去很正常,因此我排除了網路原因。排除了病毒原因之後,我反編譯了其電腦里唯一和瀏覽器相關的程序——3721網路實名插件。當看到3721程序代碼的時候,他說:「當時嚇出了一身冷汗。原來這個程序有個後門,所有的人都不知道存在的這個後門。而3721的其他程序就通過這個後門進進出出。在這個程序中我發現了一段代碼,這就是屏蔽那些網站的代碼,在這個代碼後面,有著一長串我們熟悉的網站,有的屏蔽是生效的,有的屏蔽還沒有啟用。這段代碼就像一個機器人一樣,在這段代碼後邊,如果加上http://www.sina.com.cn
那麼新浪網將被屏蔽而無法訪問。
3721為了保住他的網路實名業務,不得不保住他插件的推廣量,而3721用這種手段,在威脅並強迫著許多網站為他彈插件。而許多網站卻敢怒不敢言。***網站是受害者之一,而除他之外,還後一長串名單。
3271就像中國互聯網的黑社會,他知道你電腦里的所有信息,他占據著本屬於網民的中國互聯網,把他劃為屬於自己的地盤,牢牢控制,即便是sina、sohu、netease、qq這樣的門戶大腕,懾於3721的淫威,在3721面前也是敢怒不敢言,因為就連都無可奈何。
誰來管管3721?
遍查互聯網的法律,也沒有任何一條對3721這種做法進行管理的規定,甚至沒有任何一級管理部門和法律制定者意識到這個問題。3721在利用著自己制定的法律為所欲為,制定著屬於他的游戲規則,所有人都必須俯首稱臣,上貢交錢。
一方面偷偷摸摸給網民安裝,一方面窮凶極惡逼迫其他網站為他彈插件,否則就「封掉」不合作的網站,畢竟,他已經有了90%的佔有率,一方面,堂堂正正的大賣網路實名賺錢,甚至威脅北京大學,如果不買這個詞,就把這個詞賣給別人。
用三條計謀堂而皇之的賺錢,大大方方的管理中國互聯網。原本互聯網所倡導的平等、自由、公開的原則,在3721的公司利益面前盪然無存。原本上上下下部署嚴密的部門對他也無可奈何,甚至毫不知情。
中國互聯網,被3721繼續統治著……,誰來管管?無人來管,無人敢管.
三七二一公司已經一次次的挑戰網民的忍耐力和承受能力。不斷在技術上進行改進,以達到使網民無法屏蔽該公司網路實名客戶端的目的。面對網民憤怒的譴責和自發的屏蔽行動,三七二一公司顯然是准備不惜一切代價與這些在其眼裡是」刁民「的網友戰斗到底。
近日,我們再次發現,三七二一公司進一步改進了他們的」反「屏蔽技術。通過該方法,網路實名的客戶端將」永久「的駐留在用戶的計算機系統中,即使用戶選擇了卸載該客戶端。除非,用戶重新安裝其計算機系統,否則,無法手動清除該程序。
在用戶瀏覽網頁時,彈出的安裝窗口,既沒有使用協議,也沒有明示程序的發布公司,存在嚴重的欺詐行為。同時,該程序並不會在用戶的計算機中建立」合法「的程序安裝目錄,而且用戶通過一般手段,無法在自己的計算機系統中找到被安裝的程序,這無疑嚴重危害了用戶的計算機安全。
對於,三七二一這樣的行為,一些法律也專家認為,三七二一公司已經嚴重違反了中華人民共和國國務院於 1997 年頒布實施的《計算機信息網路國際聯網安全保護管理辦法》中的相關條款,以及《中華人民共和國消費者保護法》的相關內容。
在此,我們僅代表那些深受三七二一網路實名」病毒「之苦的用戶,譴責三七二一公司這種毫無商業道德的行為。並且,希望國家有關部門,認真對待該事件,規范市場秩序,創造良好的市場環境。
有網友認為覺得3721客戶端軟體已經具有部分病毒的性質了。
1 在設備驅動層加了保護,而且是boot時立即啟動,即使在安全模式時也會啟動。這個設備的名字叫做 cnsminkp,驅動程序位於.sys。
2 cnsminkp.sys 一旦載入,無法用命令方式卸載這個驅動程序,即 net stop cnsminkp 是無法停止這個驅動的。 cnsminkp.sys 的文件日期是2004-02-15, 是前幾天才release出來的。
3 這個驅動不停地檢測cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即會重建這兩個文件,並且不停檢測service 和software 下面的注冊表,確保cnsminkp這個服務的參數保持和它設置的一致,如果被改動,立即會恢復成原來的樣子。另外,還確保 run 里有cnsmin.dll。
4 這種死皮賴臉的方式,是決心要在內存和硬碟上駐留cnsminkp.sys 和cnsmin.dll,使系統性能迅速下降。
cnsminkp.sys 是否表示 cnsmin keep 還是cnsmin kill protect ? 只要你的windowssystem32drivers下有cnsminkp.sys ,肯定中招了。
『貳』 為什麼大家不喜歡3721這個軟體呢3721有什麼不好的地方可以給小妹說說么
憑一般的知識肯定是卸載不了的,仔細看一看
近日接到內網用戶來報,在上到某些站點的時候,會被提示安裝一個叫3721中文實名的插件,部分用戶在不知情的情況下誤點「安裝」選項,導致該病毒駐留於硬碟上難以殺除。天緣雖是網路管理員,但是對Windows操作系統的確使用得不多,從來也沒有用過這個名為3721的插件,但看到用戶們焦急地神情,於是答應盡力而為。經過幾番努力,終於將其斬於馬下。
以下是殺除該病毒得經歷及病毒解決方案。
天緣使用一台windowsxp機器,訪問用戶提供的站點,下載並執行了該插件。該插件為中文,自動安裝後重新啟動機器後生效,並自帶卸載功能。通過安裝/卸載前後的對比觀察,其駐留性、自身保護性及對系統性能的大量損耗,讓天緣確定了該插件確是病毒無疑!
病毒發作現象:
自動將瀏覽器的「搜索」功能重定向到一個叫www.3721.com的網站,該站點為中文站,且無法修改;
強行在用戶ie上添加「情景聊天」、「上網加速」等幾個圖標;
不斷刷新注冊表相關鍵值,以達到成功駐留和大量消耗用戶主機資源的目的;
每次啟機載入,並自帶進程保護功能,在正常地windows啟動下難以殺除;
5. 帶自動升級功能,每次用戶上網使用ie時,該病毒會後台執行升級;
病毒自身特點:
自帶卸載功能;該病毒為達到隱藏自身目的,麻痹下載插件用戶的目的,提供了卸載程序。但根據天緣的使用情況發現,在卸載後,該病毒程序依然駐留,啟動時仍然載入,依然監視、改寫注冊表;
採用網路升級方式;該病毒為了防止用戶以及殺毒軟體的殺除,採取定期網上升級的方式,這點與近期的其他Windows主流病毒類似,但值得一提的是該病毒建有公開的病毒升級站點www.3721.com,且站點風格酷似門戶、服務類站點,具有極大的欺騙性;
以驅動模式載入;該特性可說是近段時期以來病毒編寫的一次技術飛躍,採用驅動模式載入配合掛接hook的方式,在windows下極難查殺(詳細技術討論見後);
提供在瀏覽器地址欄中輸入中文後轉到其站點進行關鍵字查詢的搜索服務。前段時間的沖擊波剋星病毒也曾在感染用戶機器後自動連接用戶的機器到update.Microsoft.com下載補丁,看來新的病毒越來越多地喜歡提供一些另類功能了;
被動方式傳播:利用一些站點來進行傳播,而不是主動感染其他機器,這點與當前熱門的「美女圖片」病毒的方式相近。從主動轉向被動,可說是今年一些病毒的新特點;
病毒詳細分析:
當用戶訪問站點的時候,彈出一個控制項下載窗口提示用戶下載安裝,表面上稱自己是提供中文實名服務,引誘用戶安裝;
在安裝過程中多處修改用戶文件及注冊表;
添加文件:
在Documents and Settings\All Users\「開始」菜單\程序\網路實名\ 目錄下添加
了解網路實名詳細信息.url 86 位元組
清理上網記錄.url 100 位元組
上網助手.url 99 位元組
卸載網路實名.lnk 1,373 位元組
修復瀏覽器.url 103 位元組
在WINDOWS\Downloaded Program Files\ 下添加
assis.ico 5,734 位元組
cns02.dat 1,652 位元組
CnsHook.dll 56,320 位元組
CnsMin.cab 116,520 位元組
CnsMin.dll 179,712 位元組
CnsMin.inf 378 位元組
sms.ico" 6,526 位元組
yahoomsg.ico 5,734 位元組
在WINDOWS\System32\Drivers\ 目錄下添加
CnsminKP.sys
添加註冊表鍵值:
增加HKEY_LOCAL_MACHINE\SOFTWARE\3721 主鍵,下設多子鍵及屬性值;
在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 主鍵下增加
{B83FC273-3522-4CC6-92EC-75CC86678DA4}
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
兩個子鍵
3.在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\主鍵下增加
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
CnsMinHK.CnsHook.1
四個子鍵
4. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\主鍵下增加
{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}子鍵
5. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\主鍵下增加
{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}
{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\主鍵下增加
!CNS子鍵
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\ 主鍵下增加
{00000000-0000-0001-0001-596BAEDD1289}
{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}
{5D73EE86-05F1-49ed-B850-E423120EC338}
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}
{FD00D911-7529-4084-9946-A29F1BDF4FE5} 五個子鍵
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\主鍵下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四個子鍵
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\主鍵下增加
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}子鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下增加
CnsMin子鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下增加
EK_Entry 子鍵 (提示,這個鍵將在下次啟動機器的時候生效,產生最令人頭疼的部分,後文會敘述)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\下增加
CnsMin 子鍵
HKEY_CURRENT_USER\Software\下增加
3721子鍵
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset
在重新啟動計算機後,上面提到的RunOnce下的EK_Entry生效,在注冊表中多處生成最為邪惡的CnsMinKP鍵值,同時在系統盤的windows/system32/drivers目錄下生成CnsMinKP.sys文件,噩夢由此開始。
由於win2k/xp在啟動的時候(包括安全模式)默認會自動運行windows/system32/drivers下面的所有驅動程序,於是CnsMinKP.sys被載入,而這個驅動的作用之一,就是保證windows/ Downloaded Program Files目錄下的Cnshook.dll和CnsMin.dll以及其自身不被刪除;Cnshook.dll的作用則是提供中文實名功能,CnsMin.dll作用在於使其駐留在ie進程內的時候。CnsMin為了保證自己的優先順序最高,用了一個定時器函數反復安裝鉤子,因此造成系統性能下降,在天緣測試的那台機器上,使得性能大概下降了20%左右。而且由於hook強行掛接的原因,當用戶使用斷點調試程序的時候將會導致頻繁出錯,這一點與早期版本的cih導致winzip操作和無法關機類似(關於詳細的技術細節,可參看題目為《[轉載]3721駐留機制簡單研究》一文,地址為 http://www.nsfocus.net/index.php?act=sec_doc&do=view&doc_id=894 原作者Quaful@水木清華)
防刪除特性:
該病毒雖然自帶一個所謂的「卸載程序」,但事實上核心部分的程序/注冊表鍵值依然沒有刪除。而且該病毒更是利用各種技術手段,具有極其強大的反刪除特性。
windows系統啟機(包括安全模式下)便會載入windows/system32/drivers下的CnsMinKP.sys,該驅動該驅動程序過濾了對其自身及相關重要文件和注冊表的刪除操作。每當試圖刪除3721的關鍵文件和注冊表項時,直接返回一個TRUE,使Windows認為刪除已經成功,但文件和注冊表實際上還是在那裡。
技術亮點:
天緣不得不承認,3721這個病毒插件可稱我作為網管以來面對的最難清除的病毒。近幾年來病毒有幾次質的突破:cih感染可升級的bios、紅色代碼打開windows的共享擴大戰果、meliza讓我們見識了什麼是看得到源程序的病毒、mssqlserver蠕蟲讓我們留意到計算機病毒能攻擊的不光是節點還有網路設備、沖擊波病毒讓我們認識到大量使用同一種操作系統時在出現安全漏洞時的可怕、美女圖片病毒讓我們知道了將欺騙藝術與軟體漏洞結合的威力、而這次3721病毒首次展現了病毒強大的反刪除特性,可說是在windows環境下無法殺除的病毒。雖然這是個良性病毒,對系統並沒有破壞特性,但依據病毒的發展史,可以預見,這種幾近完美的反刪除技術將很快被其他病毒所利用,很快將被其他病毒所利用。屆時結合網路傳播,局網感染帶強大反刪除功能的病毒或許會讓目前windows平台下的殺毒軟體遭遇到最大的考驗。而這次經歷,也讓我意識到微軟的windows操作系統在人性化、美觀化、傻瓜化的背後的危機。作為it同行,我個人對3721病毒作者所使用的種種技術表示欽佩,但新型病毒的潘多拉魔盒,已經被他們打開:
在目前已知的病毒歷史上,之前只有幾種病毒利用過windows nt下的system32/drivers 下的程序會被自動載入的特性來進行傳播,但那些病毒本身編寫地不夠完善,會導致windows nt系統頻繁藍屏死機,象3721插件病毒這樣完美地載入、駐留其他進程,只消耗主機資源,監測注冊表及關鍵文件不導致系統出錯的病毒,國內外尚屬首次,在技術上比以前那些病毒更為成熟;
如同天緣和大家曾經探討過的沒打sp2以上patch的win2k如何上網下載sp4再安裝補丁這樣的連環套問題一樣。由於drivers目錄下的CnsMinKP.sys啟機必定載入,而欲不載入它,只有在windows啟動後,進注冊表改寫相應的CnsMinKP鍵值或者刪除該文件,但由於CnsMinKP.sys過濾了對其自身及相關重要文件和注冊表的刪除操作。每當試圖刪除3721的關鍵文件和注冊表項時,直接返回一個TRUE,使Windows認為刪除已經成功,但文件和注冊表實際上還是在那裡。使得注冊表無法修改/文件無法被刪除,讓我們傳統的殺除病毒和木馬的對策無法進行。
駐留ie進程,並自動升級,保證了該病毒有極強大的生命力,想來新的殺除方法一出現,該病毒就會立即升級。Windows上雖然還有mozilla等其他瀏覽器,但由於微軟的捆綁策略和兼容性上的考慮,絕大多數用戶一般只安裝有ie。上網查資料用ie,尋找殺除3721資料的時候也用ie,如此一來,3721搶在用戶前面將自身升級到最新版本以防止被殺除的可能性大大增加,更加增添了殺除該病毒的難度。或許在本文發出後,病毒將會在最短時間內進行一次升級。
附帶其他「實用」功能。天緣記得早年在dos下的時候曾遇到一些病毒,在發作的時候會自動運行一個可愛的屏幕保護,或者是自動替用戶清理臨時文件夾等有趣的功能;後來在windows平台上也曾見過在病毒發作時自動提醒「今天是xx節,xx年前的今天發生了xx歷史典故」這樣的帶知識教育意義的病毒;而3721病毒則是提供了一個所謂的中文域名與英文域名的翻譯功能。隨著病毒的發展,這樣帶隱蔽性、趣味性和欺騙性的病毒將越來越多。例如最近的郵件病毒以微軟的名義發信,或以re開始的回信格式發信,病毒編寫的發展從原來的感染傳播、漏洞傳播、後門傳播逐步向欺騙傳播過渡,越來越多的病毒編寫者意識到社會工程學的重要性。或許在不久的將來,就會出現以簡單的網路游戲/p2p軟體為掩飾的病毒/木馬。
極具欺騙性:該插件在win98下也能使用,但使用其自帶的卸載程序則可比較完美地卸載,而在win2k/xp平台下卸載程序則幾乎沒用。由此可以看出病毒編寫者對社會工程學極其精通:當一個人有一隻表時他知道時間;而當他有兩只表時則無從判斷時間。當在論壇/bbs上win2k/xp的用戶提到此病毒無法刪除的時候,其他win2k/xp用戶會表示贊同,而win98用戶則會表示其不存在任何問題屬於正常程序的反對意見。兩方意見的對立,影響了旁觀者的判斷。
商業行為的參與。據傳該病毒是由某公司編寫的,為的是進一步推銷其產品,增加其訪問量和申請用戶。這點上與某些色情站點要求用戶下載xx插件,之後不斷利用該插件彈出窗口進行宣傳的方式很象。天緣不由得想起一個典故。話說當年某公司公司工作人員(當然也有可能是不法者冒充該公司的工作人員)經常打電話恐嚇大型的企業單位,無外乎說其中文域名已被xx公司搶注,如不交錢將會導致xx後果雲雲。兄弟學校中似乎也有受到此公司騷擾的經歷:該公司員工打電話到某高校網路中心,起初是建議其申請中文域名,其主任很感興趣但因價格原因未果。第二次打來的時候,就由勸說變成了恐嚇,說該校中文名字已經被xx私人學校注冊,如果該校不交錢申請就會有種種可怕後果雲雲。誰想該校網路中心主任吃軟不吃硬,回話:「你既然打電話到此,想來你也知道在中國,xx大學就我們一所是國家承認的,而你們公司在沒有任何官方證明的情況下就替申請我校中文域名的私人學校開通,就這點上就可見你們的不規范性,那麼如果我私人交錢申請xxx國家領導的名字做個人站點是不是貴公司也受理?遇到類似冒用我校名義行騙及協助其行騙的公司,我們一貫的做法是尋找法律途徑解決!」回答甚妙,當然此事後果是不了了之。從相關報道中不難看到,計算機犯罪逐步開始面向經濟領域。侵犯私人隱私,破壞私人電腦的病毒與商業結合,是病毒編寫由個人行為到商業行為的一次轉變,病毒發展的歷史由此翻開了新的一章。
病毒查殺方案:
由於網管專題的欄目作用主要是「授人與漁」,天緣把病毒查殺過程經歷一並寫下,大家共同探討。
第一回合:
當初見此病毒的時候,感覺不過如此,普通木馬而已。依照老規矩,先把注冊表裡相關鍵值刪除,再把病毒文件一刪,然後重新啟動機器,等待萬事ok。啟機一看,注冊表完全沒改過來,該刪除的文件也都在。
結局:病毒勝,天緣敗
第二回合:
換了一台機器,下了個卸載幫助工具,以方便監視注冊表/文件的改變。我下的是Ashampoo UnInstaller Suite這個軟體,能監視注冊表/文件/重要配置文件。Ok,再次安裝3721插件,把對注冊表的改變/文件的改變都記錄下來。(值得注意,因為注冊表run和runonce的鍵是下次啟動的時候生效的,因此在重新啟動後,還要對比一下文件/注冊表的改變才能得到確切結果)。然後對比記錄,把3721添加的鍵全部記下來,添加的文件也記錄下來。之後我計劃是用安全模式啟動,刪除文件和注冊表,所以寫了一個save.reg文件來刪除注冊表裡的相關鍵值(寫reg文件在網管筆記之小兵逞英雄那講有介紹,等一下在文末我提供那個reg文件給大家參考),寫了一個save.bat來刪除相關文件,放到c盤根目錄下。重新啟動機器,進入安全模式下,我先用regedit /s save.reg 導入注冊表,然後用save.bat刪除相關文件。重新啟動機器,卻發現文件依然存在,注冊表也沒有修改成功。通常對付木馬/病毒的方式全然無效,令我產生如臨大敵之感。
結局:病毒勝,天緣敗
第三回合:
重新啟動機器,這次我採用手工的方式刪除文件。發現了問題——對system32/drivers目錄下的CnsMinKP.sys,WINDOWS\Downloaded Program Files 目錄下的Cnshook.dll和CnsMin.dll都「無法刪除」。這樣說可能有點不妥當,准確地說法是——刪除之後沒有任何錯誤報告,但文件依然存在。於是上網用google找找線索——在綠盟科技找到了一則文章(名字及url見前文),於是明白了這一切都是CnsMinKP.sys這東西搞得鬼。那麼,只要能開機不載入它不就行了??但試了一下2k和xp的安全方式下都是要載入system32/drivers下的驅動,而如果想要取消載入,則需要修改注冊表,但由於在載入了CnsMinKP.sys後修改注冊表相關值無效,導致無法遏制CnsMinKP.sys這個程序的載入。當然,有軟碟機的朋友可以利用軟盤啟動的方式來刪除該文件,但如果跟天緣一樣用的是軟碟機壞掉的機器怎麼辦呢?記得綠盟上的文章所說的是——「目前無法破解」。在這一步上,天緣也嘗試了各種方法。
我嘗試著改這幾個文件的文件名,結果沒成功;
我嘗試著用重定向來取代該文件,如dir * > CnsMinKP.sys ,結果不成功;
我嘗試著用 con <文件名> 的方式來覆蓋這幾個文件,結果發現三個文件中Cnshook.dll可以用這樣的方法覆蓋成功,但是在覆蓋CnsMinKP.sys和CnsMin.dll的時候,居然提示「文件未找到」!?熟悉 con用法的朋友都該了解,無論是文件是否存在,都應該是可以創建/提示覆蓋的,但居然出來這么一個提示,看來CnsMinKP.sys著實把系統都騙過了,強!!跟它拼到這里的時候,回想到了在dos下用debug直接寫磁碟的時代了,或許用它才能搞定吧?
仔細一想,win2k/xp下似乎沒有了debug程序了,而或許問題解決起來也不是那麼復雜。再又嘗試了幾種方法後,終於得到了啟示:既然文件不允許操作,那麼我操作目錄如何?
我先把windows\system32\drivers目錄復制一份,取名為drivers1,並將其中的CnsMinKP.sys刪除(注意,因為是drivers1中的,所以可以被成功地真正刪除掉);
重新啟動機器,到安全模式下;
用drivers1目錄替代原來的drviers目錄
cd windows\system
ren drivers drivers2
ren drivers1 drivers
之後重新啟動機器,然後進到windows後先把drivers2目錄刪除了,然後慢慢收拾殘余文件和清理注冊表吧。在這里天緣提供一個reg文件,方便各位刪除注冊表:
Windows Registry Editor Version 5.00(用98的把這行改成regeidt4)
[-HKEY_LOCAL_MACHINE\SOFTWARE\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{5D73EE86-05F1-49ed-B850-E423120EC338}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FD00D911-7529-4084-9946-A29F1BDF4FE5}]
[-HKEY_CURRENT_USER\Software\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OCustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OSearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\EK_Entry]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSAutoUpdate]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSEnable]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSHint]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSList]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSMenu]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSReset]
結局:病毒敗,天緣勝
(雖然是成功地刪除了它,但是感覺贏得好險,如果該病毒加一個禁止上級文件改名的功能那麼就真的沒折了,為了預防類似的情形,最後還是找到了徹底一點的辦法,見下)
第四回合:
聰明的讀者大概已經想到,既然沒有辦法在硬碟啟動對於c盤是fat32格式的機器,想到這里已經找到了解決辦法——用win98啟機軟盤啟動機器,然後到c盤下刪除相關文件,然後啟動到安全模式下用save.reg把注冊表搞定就行了。問題是——大多數win2k/xp都使用的是新的ntfs格式,win98啟機軟盤是不支持的!怎麼辦?有軟碟機的機器可以做支持NTFS分區操作的軟盤,用ntfsdos這個軟體就能做到(詳情請見http://www.yesky.com/20020711/1620049.shtml一文)。而跟天緣一樣沒有軟碟機的朋友,別忘記了win2k/xp開始加入的boot,不光是能夠選擇操作系統而已,而是跟linux下的lilo和grub一樣,是一個操作系統引導管理器——換句話說,如果我們能在硬碟上做一個能讀寫NTFS的操作系統,再用boot進行引導,那麼不是就可以在無軟碟機的情形下實現操作c盤的目的了么?在網路上找到vFloppy.exe 這個軟體,它自帶一個支持讀寫ntfs的鏡象文件,並且使用簡單,非常傻瓜化(詳情見http://www.yesky.com/SoftChannel/72350068425883648/20040226/1771849.shtml 一文,順便一提新版本的yFloppy已經自帶支持ntfs讀寫的img文件了)。然後刪除3721的相關文件,重新啟動後清理注冊表和刪除相關文件就行了。
到此,我們終於把3721這個陰魂不散地幽靈徹底趕出了我們的硬碟!!
由於不少網站基於各種原因,在顯示頁面的時候都會彈出3721的下載窗口,很容易誤點。在ie中就能屏蔽掉該站以及其他惡意的任何下載。具體方法可見(http://www.yesky.com/20030416/1663721.shtml 一文)。
截止發稿為止,天緣所知不少同行網管已經在網關上做了對該地址的屏蔽,防止不知情的用戶無辜受害。網路安全任重道遠,還要靠大家的努力才能把一些害群之馬斬草除根。
402947901
『叄』 3721上網助手的免疫問題
最強殺馬軟體!!2007/06/02 19:15AVG Anti-Spyware 7.5、超級巡警 V3.5 、360安全衛士請看全文。有原版下載地址AVG原Ewido中文版
AVG Anti-Spyware 7.5簡體中文綠色版(原Ewido)
AVG Anti-Spyware -- 極致安全 完美防護.
針對網際網路上傳播的新一代安全威脅的有效解決方案.
確保您的數據安全,保護您的隱私,抵禦間諜軟體,廣告軟體,木馬,撥號程序,鍵盤記錄程序和蠕蟲的威脅.
在易於使用的界面之下,我們為您提供了高級的掃描和探測方式以及時下最尖端的技術.
反病毒程序只能提供針對危急爆發的威脅如木馬,蠕蟲,撥號程序,劫持程序,間諜軟體和鍵盤記錄程序的有限的保護.而這正是AVG Anti-Spyware保護的出發點,它能補充現有的安全應用程序從而創建一個完整的安全系統 -- 因為只有完整的安全系統才能有效地工作.
AVG Anti-Spyware 7.5是ewido anti-spyware 4.0的全新高度改進的版本.
ewido anti-spyware 4.0已經被AVG Anti-Spyware 7.5代替並且不再可供(以舊名稱)銷售和下載.
AVG Anti-Spyware 7.5含有相同的ewido技術,但是帶有更為增強的特性:
高度改進的清除性能
更低的資源使用
支持附加的語言
AVG Anti-Spyware的特性
新 完全復新的用戶界面
新 可以創建例外
新 安全刪除文件的粉碎器
新 XP反間諜
新 瀏覽器幫助程序對象查看器
新 分層服務提供器查看器
啟發式探測未知威脅
掃描和清除Windows注冊表
支持掃描NTFS交換數據流
每日更新資料庫
通過使用強特徵碼防止補丁
分析工具(啟動,連接和進程)
智能聯機更新
在壓縮文檔內掃描
安全探測和刪除動態鏈接庫木馬
通過模擬探測通用加密器
探測通用捆綁程序
免費電子郵件支持
自動清除引擎
可疑文件隔離
多語言用戶界面
加強版的附加特性
新 計劃掃描
實時監視整個系統
內存掃描探測活動的威脅
核心層自我保護保證了無縫監視
自動聯機更新
ewido 的殺馬效力無可替代,新一代產品更添加幾百處更新和更全樣本庫,佔用內存明顯減少,啟動更快,帶來更多驚喜,幾個月前ewido被捷克的Grisoft(AVG)收購,繼而發布最新平台,簡而言之,就是AVG Internet Security Suite 的組件。
原版下載http://download.ewido.net/ewido-setup.exe漢化包下載:http://www.newpaid.com/down/ewido/hanhua.rar
附件內還有二個注冊機簡體中文版下載:http://guru0.grisoft.cz/softw/70/filedir/inst/ewido-setup_4.0.0.172b.exe
超級巡警 V3.5
專門查殺並可輔助查殺各種木馬、流氓軟體、利用Rootkit技術的各種後門和其它惡意代碼(間諜軟體、蠕蟲病毒)等等。提供了多種專業工具,提供系統 /IE修復、隱私保護和安全優化功能,提供了全面的系統監測功能,使你對系統的變化了如指掌,配合手動分析可近100%的查殺未知惡意代碼!
升級改動:
1.安全優化-系統修復中加入修復磁碟文件關聯功能
2.初步解決軟體啟動時寫屏造成的閃爍問題
3.增強監控功能,在病毒庫更新後智能對敏感位置檢測
4.升級模塊將主動下載KEY,用戶不用在擔心KEY過期或者損壞的問題。
5、文件粉碎機的UI小調整
6、信任列表增加全選菜單
7、修正在內存掃描時仍然可以點擊快速掃描的BUG。
8、進程管理增加強制使用微軟數字簽名校驗菜單,鉤選後將只使用微軟簽名來驗證進程和模塊文件。
8、服務管理增加強制使用微軟數字簽名校驗菜單,鉤選後將只使用微軟簽名來驗證服務文件和對應的DLL模塊。
9、進程管理增加隱藏已知DLL的選項,默認開啟,方便一目瞭然的查找...
http://www.skycn.com/soft/29107.html#download
===============
360安全衛士v3.4版
漏洞補丁集中分發功能,網管批量安裝補丁好幫手 new!
· 支持區域網共享下載漏洞補丁,更可自定義漏洞補丁保存目錄
· 提供U盤病毒免疫功能,阻止U盤病毒入侵
· 漏洞補丁掃描更精準,更新更及時,為各類突發漏洞提供及時有效的解決方案
增量升級,更快速升級特徵庫 new!
· 支持增量升級,更新特徵庫更快速
· 首頁顯示最新特徵庫信息,更了解查殺最新動向
掃描更多可疑位置,診斷報告更精確 new!
· 掃描更多惡意軟體隱匿位置,更多列出系統可疑內容
· 診斷報告更精確,更准確更快速定位系統問題
超強查殺
· 「破冰」技術,追擊查殺廣告軟體asn.2、灰鴿子等最新變種。
· 查殺9000餘款流行木馬,1000餘款惡意軟體,每日增加中
免費殺毒
· 贈送價值320元的正版卡巴斯基殺毒V6.0,病毒庫每小時更新,7*24小時全面服務
· 第一時間推出各類免費病毒專殺工具,熊貓燒香、灰鴿子盡數殺除
http://dl.360safe.com/setup.exe
『肆』 3721佔用的本地埠怎麼才能斷開
對於採用Windows 2000或者Windows XP的用戶來說,不需要安裝任何其他軟體,可以利用「TCP/IP篩選」功能限制伺服器的埠。具體設置如下:
1.通用篇(適用系統Win2000/XP/server2003),最近我在論壇看了一些文章,發現大家都有一個誤區,就是哪個埠出漏洞就關閉哪個埠,其實這樣是不能保證系統安全的,正確的方法應該是先了解清楚自己需要開放哪些埠,了解完畢後,把自己不需要的埠統統關閉掉,這樣才能保證系統的安全性。
比如說你的電腦是一台伺服器,伺服器需要有Mail Server和WEB服務,還要有FTP服務,這些只需要開放21、25、80、110就足夠了。其它的就應該全部關閉。
關閉的方法:點擊「開始→控制面板→網路連接→本地連接→右鍵→屬性」,然後選擇「Internet(tcp/ip)」→「屬性」,。在 「Internet(tcp/ip)屬性」對話框中選擇「高級」選項卡。在「高級TCP/IP設置」對話框中點選「選項」→「TCP/IP篩選」→「屬性」,。在這里分為3項,分別是TCP、UDP、IP協議。假設我的系統只想開放21、80、25、110這4個埠,只要在「TCP埠」上勾選「只允許」然後點擊「添加」依次把這些埠添加到裡面,然後確定。注意:修改完以後系統會提示重新啟動,這樣設置才會生效。這樣,系統重新啟動以後只會開放剛才你所選的那些埠 ,其它埠都不會開放。
2.利用系統自帶防火牆關閉埠(適用系統WinXP/Server 2003)
微軟推出WinXP之後的操作系統本身都自帶防火牆,用它就可以關閉掉不需要的埠,實現的步驟也很簡單。
具體設置:「控制面板」→「本地連接」→「高級」,把「Inernet連接防火牆」下面的選項勾選上,如圖所示,然後點擊「設置」,出現如圖所示窗口。假設我們要關閉135埠(所有使用Win2000或者是WinXP的用戶馬上關閉135埠,因為最新的漏洞可以利用這個埠攻擊伺服器獲取許可權),135埠用於啟動與遠程計算機的RPC連接。我們可以在「高級設置」窗口的「服務」選項卡中點擊「添加」按鈕,。在「服務設置」對話框中把各項按圖中所示填寫好之後一路確定就可以了。這樣防火牆就自動啟動了,啟動以後「本地連接」圖標會出現一個可愛的小鎖頭。
以上就是利用系統本身自帶防火牆關閉埠的方法。當然了,有條件的朋友還可以使用第三方防火牆來關閉埠。
『伍』 以前3721和百度
3721就是一款IE插件,讓用戶不用輸入網址,直接輸入中文就能轉到網版頁。由於以前監權管不嚴,大家都搜索些亂七八糟的東西,後來被周鴻偉賣給雅虎,成了雅虎助手。
網路從一開始就是做搜索的,你說的競爭貌似沒聽說過
『陸』 3721和奇虎網的創始人為啥都是一個人
人家有資本去開肯定就能開的了
能做成功也說明他個人的能力肯定好
開創了一個高度後 又會去創造另一個高度
『柒』 如何徹底刪:系統設置篡改-Hwslrww惡意程序.急!
IE瀏覽器如何修復
了解了惡意程序的種種惡習,現在咱們就一起來瞧瞧如何去清除它!說到修復IE,大家都會想到3721上網助手必不可少!其實也不過就是看中了它的能從IE中點一個按鈕就能修復IE的快捷之處吧,簡單易懂(安裝方法:進入上網助手網站http://zs.3721.com/start.htm,在頁面靠右的位置有「安裝上網助手」,點擊即可安裝).以下參照上網助手2005來闡述其使用方法!
."一鍵搞定"
首先當然是用一鍵搞定的功能,快速解決問題,方法是點擊上網助手頁面"功能導航"上方的"一鍵修復"按鈕.它的功能主要有:修復系統,清理痕跡和刪除垃圾!
2."一鍵修復"
有沒有發現在上網助手功能導航里的"IE修復"項里還有個"一鍵修復".那麼在你一鍵搞定後,也可以再試試這個...它是IE修復專家為您提供的快捷而安全的修復方式,通常可以解決大部分用戶的問題。在整個修復過程中,IE修復專家會智能選擇修復方案,您只需點擊 [立即修復] 按鈕即可。主要功能有:
· 查殺運行中的惡意程序
· 查殺運行中的間諜軟體
· 查殺運行中的廣告軟體
· 查殺運行中的木馬
· 查殺運行中的其他惡意程序
清理惡意程序啟動項
· 清理注冊表Run項中的惡意啟動項
· 清理開始菜單啟動組中的惡意啟動項
· 清理win.ini/system.ini中的惡意啟動項
· 清理非法的文件關聯項
· 清除系統啟動時彈出的廣告對話框
· 清理非法的計劃任務
· 清理其他未公開的啟動項
解除對系統功能的非法限制
· 恢復被禁用的「注銷、運行、關閉」菜單
· 恢復被禁用的「注冊表編輯器」
· 恢復「導入注冊表文件」功能
· 恢復被隱藏的「控制面板」
· 恢復被隱藏的「網上鄰居」
· 恢復「我的電腦」中被隱藏的硬碟
· 恢復「控制面板」中被隱藏的圖標
解除對IE功能的非法限制
· 恢復被禁用的「Internet選項」
· 恢復被禁用的瀏覽器右鍵菜單
· 恢復被禁用的「查看源文件」菜單
清理瀏覽器外掛程序
· 清除已知的惡意右鍵菜單
· 清除已知的惡意ActiveX插件
· 清除已知的惡意工具欄按鈕
· 清除已知的惡意工具條
消除對IE瀏覽器的劫持
· 恢復被篡改的IE首頁和搜索頁
· 恢復被篡改的IE空白頁和默認頁
· 恢復被篡改的IE瀏覽器標題和OE標題
· 清除已知的惡意網址轉向插件
· 清除已知的惡意BHO、LSP等
· 清除已知的惡意Hosts表項
· 清除所有受信任站點
· 恢復默認瀏覽器為IE
· 恢復「鏈接欄」的標題
呵~功能強大吧!可你瞧仔細拉..它如此強大也只能解決大部分問題!
3."恢復IE外觀"
當完成以上兩步後,應該可以說算完成了修復...但想過嗎,那些頑固的程序有可能會留下不少的尾巴吧.那麼我們就可以用助手的該功能去整理自己的IE外觀拉.你只需在它下面的列表中勾選您不需要的項目,點擊 [立即清除] 按鈕即可刪除!功能有:清理IE右鍵菜單、清理IE工具欄、清理IE工具欄.
三、保護IE設置
被惡意程序給折騰了一回吧,哈哈,不想讓您的IE再次遇難?現在就開啟「IE保護」吧!在功能導航里就有個"IE保護設置"的項。IE保護可以即時保護瀏覽器的關鍵項,確保任何時候都不被惡意程序篡改。勾選要保護的項,然後點擊「立即設置」按鈕...它主要保護以下IE項:IE首頁、IE默認頁、IE為默認搜索引擎、IE標題、"Internet選項" 、IE的默認瀏覽器.
惡意網站在修改IE的同時,往往也會修改系統啟動項,因此建議同時保護系統啟動項(推薦增加此保護,後邊會說到此啟動項).
小提示:如果在使用了啟動項保護過程中您將一些正常程序啟動項的增加設置為了"不允許",您可以使用上網助四、屏蔽和舉報惡意網站
既然那些惡意網站如此可惡,為什麼不屏蔽它們、讓它們根本無法接近我的IE?3721上網助手就提供了屏蔽惡意代碼的功能。點擊功能導航里"安全防護"下的"屏蔽惡意代碼",勾選其屏蔽的選項.然後點擊"立刻設置",就會生效。如此乎只是起到屏蔽的作用,可屏蔽的惡意代碼庫都是由3721專家分析歸納總結的,類似於病毒庫,這就需要經常的更新才能抵禦更新更強的惡意程序!而我們作為惡意網站的受害者是不是應該將那些該死的痛恨的網站向3721舉報呢。以後的分析就交給3721的專家吧。為了自己,為了更多的人免遭毒害。我們應該全民動員起來,見一個殺一個,知道一個就舉報一個,來創造一個屬於我們干凈的IE環境吧!(手功能導航里"優化啟動"的"啟動加速"功能恢復這些啟動項。五、防止重啟動再次感染 趕盡殺絕
是不是做完以上這些,我們就能肯定IE已經修復,惡意程序已經清除呢?答案肯定的說"NO"---是否你會經常感覺到剛剛3721修復後還是好的,怎麼一開機又壞拉?難道是3721的無能?嘿,這也許就是所謂的魔高一尺吧!那到底是怎麼回事呢...其實,還是惡意程序在作怪拉!惡意程序通常會善於偽裝自己或將自己獨立於其它目錄下!
我們可以使用助手的功能導航下"優化加速"里的"電腦啟動加速"查看啟動項的程序,可以看到啟動的時候啟動了哪些程序.當看到有可疑的程序時,可以去掉前邊的勾選就可以在下次開機的時候不啟動了!當然了,如果你不知道哪些是可疑的或者誤勾了選擇(比如播放器的啟動等都是必要的),那麼下次啟動後,再進到這里來勾上就可以拉...簡單易用吧!
『捌』 怎樣刪除這個病毒HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS
是3721!
3721實在太惡心了。不小心中招,居然怎麼也刪不掉。3721的駐留機制在[1]
中進行了分析,由此可見,3271的防刪除手段是非常高超的。刪注冊表中相關3721的
表項,刪%WINNT%\Downloaded Program Files中含CnsMin的文件(特別是那個CnsMin.dll)
都沒有作用(它會自恢復)。我在刪除幾次後,瀏覽器瀏覽%WINNT%\Downloaded Program
Files已經看不到任何3721的文件,而在DOS下看,卻是一大堆!網上很多關於刪除3721的
辦法,不過很多都過時了,一個較完善的刪除辦法參見[2]. 不過最關鍵的問題還是無法
切斷系統裝載CnsMin.dll的途徑: 直接去目錄下rename CnsMin.dll,沒有用; 啟動到安
全模式,CnsMin.dll已經駐留,從而無法進一步清除;啟動到安全模式的命令行模式,又
看不見%WINNT%\Downloaded Program Files目錄。看來只有通過Windows光碟,在Recovery
Control下才能不在3721的控制下訪問硬碟,去掉3721的相關文件了。以下是我在[2]的
基礎上總結的步驟:
(1) 拔掉網線,這樣中斷3721從網路下載文件的途徑。
(2) 准備一張Win2k的可啟動安裝光碟 (對於WinXP系統,WinXP盤最好,不過Win2K光碟也
可以用,並且不要超級用戶密碼就可以進入Recovery Console, 這個是M$的超級大
Bug).
(3) 光碟插入,重起機器,從光碟啟動,進入安裝Win2K的界面。等需要的驅動都裝載好
之後,系統問是要安裝新系統,還是Repair, 按"R"鍵Repair, 然後系統問是要進入
Recovery Console還是進行應急盤修復,按"C"鍵進入Recovery Console.然後,系統
列出存在的Windows系統,讓你選擇,此時按"1"鍵,然後"回車"鍵(千萬不要直接按
"回車",否則系統認為不需要維護,重起了)。然後按提示輸入administrator的密碼,
成功進入Recovery Console.
(4) 進入後,問題就簡單了。注意,此時del命令只能刪單個文件,rmdir也只能刪空目錄。
進入%WINNT%\Downloaded Program Files,刪掉3721子目錄,一個個刪調cnsio.dll
以及其它所有以CnsMin開頭的文件。再進入%WINNT%\system32\drivers,刪掉那個
CnsMinKP.sys文件。注意,此時,系統只允許你在%WINNT%中操作,訪問其它上層目
錄均顯示"access denied"。不過這已足夠。刪完後,移掉光碟,重起機器。
(5) 系統再度起來時,3721不能裝載需要的文件,就乖乖任你蹂躪了(嘿嘿,真是有報仇
的快感). 刪除這些東西:
(a) 任務管理窗口裡面,終止所有Rundll32的進程(主要其中有個3721的)
(b) 刪除目錄C:\Program Files\3721
(c) 打開注冊表,刪除HKLM\Software\Microsoft\Windows\CurrentVersion\Run下含
3721文件的Rundll32調用
(d) 在整個注冊表裡搜索含關鍵字3721的key,刪之
(e) 在整個注冊表裡搜索含關鍵字CnsMin的key,刪之(可能有幾個刪不掉,沒關系)
(f) 在HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\下刪除整個
!CNS
(g) 在HKCU\Software\Microsoft\Internet Explorer\Main\下,刪除諸如CNSEnable,
CNSList此類以CNS打頭的Value.
(6) 3721已經全部刪除。現在打開IE瀏覽器,工具菜單-->Internet選項-->安全-->受限制
的站點-->點擊"站點"按鈕,然後把「3721.com」加入,這樣以後拒絕訪問 3721 的一
切網頁,以免再被裝上他們的網路shit.
(7) 重起機器,插網線。結束。
『玖』 3721驅動病毒怎麼徹底清除
3721是個木馬,很垃圾
你用它的卸載是永遠刪不幹凈的;刪注冊表時也有幾個項目是不讓回刪的,很麻煩答。去下載個超級兔子(華軍軟體園的,放心),免費,不注冊也讓用
http://www.onlinedown.net/soft/2636.htm
注冊名:PHOENIX
注冊碼:MSCNC-COPGN-SWBKW-WAQBU-EDGOS
它提供了對3721的專業卸載,在「優化王」里的「專業卸載」里,「下一步」就解決了,干凈
『拾』 怎樣徹底清除3721這個流氓軟體
由於這個3721網路實名插件是使用Rundll32.exe調用連接庫的,系統無法終止Rundll32.exe進程,所以我們必須重新啟動計算機,按 F8 進入安全模式(F8 只能按一次,千萬不要多按!)之後,單擊 開始 -> 運行 regedit.exe 打開注冊表,進入:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\刪除鍵:CnsMin其鍵值為:Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32(如果是win98,這里的 C:\WINNT\DOWNLO~1\ 為 C:\WINDOWS\DOWNLO~1\)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\刪除整個目錄:!CNS這個目錄在 Internet 選項 -> 高級 中加入了3721網路實名的選項。HKEY_LOCAL_MACHINE\SOFTWARE\3721\ 以及 HKEY_CURRENT_USER\Software\3721\刪除整個目錄:3721註:如果您安裝了3721的其它軟體,如 極品飛貓等,則應刪除整個目錄:HKEY_LOCAL_MACHINE\SOFTWARE\3721\CnsMin 以及 HKEY_CURRENT_USER\Software\3721\CnsMinHKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\刪除鍵:CNSEnable 其鍵值為:a2c39d5f刪除鍵:CNSHint 其鍵值為:a2c39d5f刪除鍵:CNSList 其鍵值為:a2c39d5f在刪除完注冊表中的項之後,還需要刪除存儲在硬碟中的3721網路實名文件。刪除如下文件:C:\WINNT\DOWNLO~1 目錄下(這里的 C:\WINNT\DOWNLO~1\ 為 C:\WINDOWS\DOWNLO~1\ 下同)2001-08-09 15:34 <DIR> 37212001-08-02 17:03 40,960 cnsio.dll2001-08-08 14:14 102,400 CnsMin.dll2001-08-24 23:14 42 CnsMin.ini2001-08-09 10:18 13,848 CnsMinEx.cab2001-07-06 17:57 32,768 CnsMinEx.dll2001-08-25 02:52 115 CnsMinEx.ini2001-08-25 02:51 17,945 CnsMinIO.cab2001-08-02 17:02 32,768 CnsMinIO.dll2001-08-24 23:15 40,793 CnsMinUp.cabC:\WINNT\DOWNLO~1\3721 目錄下2001-08-02 17:03 40,960 cnsio.dll2001-08-24 15:53 102,400 CnsMin.dll2001-07-06 17:59 213 CnsMin.inf2001-08-24 15:48 28,672 CnsMinIO.dll以上文件全部刪除,這樣3721網路實名「病毒」就從您的計算機中全部清除了。最後,重新啟動計算機,進入正常模式。現在已經完全沒有3721網路實名的捆饒了!
要是不放心可以在你的電腦上安裝通用網址的插件,這樣3721就決對進不來了