『壹』 你能说说3721上网助手(雅虎助手)怎么流氓了吗
我一看见3721我就晕
首先你卸载了Program Files里面的3721不能删除
其次注册表里面还有一堆东西
系统目录里面还有一堆垃圾
安全模式不能删除
要去DOS(有几个新手会? 哈哈,3721还想的"周到")才能删除
还有一堆问题,原来没有出专门卸载3721的软件的时候我忙的憨完
现在有这份软件就懒得动手了,所以忘记了
其实网上分析3721的文章已经有很多了,你自己找找就行了
看了LZ的TO,发现你连注册表都不理解,何谈3721?!?!?!!
3721对网民说:你们被我强奸了(转自VERYCD)
学会上网之后,原本以为到达了一个更加便利的世界,然而,这个自由便利的世界却早被3721统治。
5年时间,疯狂掠夺统治资本
3721从1998年成立至今一直在利用微软的浏览器做着自己的梦,试图打造中国人的网络标准。用了5年时间,3721通过各种渠道、利用各种手段,让他的网络实名插件遍布90%的中文上网用户,而这,就是3721用5年时间积累起的统治中国互联网的雄厚资本,3721插件,表面上是中文上网工具,实际上,背后利用简单的病毒原理控制着网民的电脑,玩弄着中国互联网和对技术不甚了解的7000万网民,5年时间,积累起了足以对抗7000万网民和的雄厚资本。
用简单的技术愚弄着中国网民
这样一个打着“简单上网”旗号的3721,在程序员眼里,甚至成为了“LJ”的代名词。
到任何程序员聚集的站点,查看一下涉及到3721新闻的评论 90%以上都是对3721的攻击,甚至是辱骂,更有程序员还在个人网站中标注:“如果你是3721的支持者,不要安装本程序,本人不欢迎并拒绝其支持者使用本程序!”
首先,程序员对3721的技术一直没有持肯定态度。在程序员看来,通过客户端软件将域名和中文单词对应起来,实在没有什么技术可言。
最初,3721的软件是客户端的形式,主要通过和网站合作进行免费发放,但这种方式容易被用户拒绝或者删除。不久,3721采用了微软公开的activex技术标准,将客户端转变为了浏览器插件。应该说,许多软件均采用activex技术开发,例如flash动画播放插件、microsoft media player插件等,这种方式也无可厚非,但3721在推行这种方式时,并没有尊重用户的意愿,而是防不胜防的在各种网站上弹出骚扰对话框,强迫安装。有程序员表示:“不管软件写的怎样,有一点是肯定的,开发者和策略制订者缺乏起码的职业道德。现在所谓2000万用户,有多少是自愿安装的呢?又有多少是踩中地雷的呢。”同时,在早期的某些版本中,的确有造成用户死机的案例出现并被广泛的传播。
因此,3721接下来就好像故意要同程序员做一些对抗的工作。为了防止卸载删除,软件中采用各种技术手段。有程序员说:“现在3721的插件越做越霸道。不止是修改注册表,而是一直在你的系统里运行,并把自己伪装起来,我曾经把cmin*.dll删除后,用winhex查还有,是改名运行的!而且如果用softice 调程序,3721的dll总会捣乱!” 3721在煞费苦心的加入各种技巧,有的技巧与木马病毒的原理一模一样,所有3721的软件在你的计算机上都开着后门,而这个后门,正是3721走进你计算机深处的通途,3721在偷窥你的时候,你,却并不知情。
用程序员群体的眼光看,用软件开发的某些技巧来强奸用户的意志,这对3721是自辱,对中国互联网是侮辱!
但是,3721为了保证其利润来源和一个无耻的梦想,他还是选择侮辱中国互联网,侮辱中国网民。
黑社会手段抢夺地盘
然而3721在圆自己的美梦时却毁掉了众多网民的基本的使用权。众多不知情的网民在无意下载3721插件后却一直在被3721的梦想所左右。3721的插件也已经开始在90%的中文上网用户打开电脑开始上网时被监控。
有懂技术的网民在论坛上发表言论时写道:这两天上某些网站不是很顺利,开始我以为是网络的问题,可是其它网站上的去很正常,因此我排除了网络原因。排除了病毒原因之后,我反编译了其电脑里唯一和浏览器相关的程序——3721网络实名插件。当看到3721程序代码的时候,他说:“当时吓出了一身冷汗。原来这个程序有个后门,所有的人都不知道存在的这个后门。而3721的其他程序就通过这个后门进进出出。在这个程序中我发现了一段代码,这就是屏蔽那些网站的代码,在这个代码后面,有着一长串我们熟悉的网站,有的屏蔽是生效的,有的屏蔽还没有启用。这段代码就像一个机器人一样,在这段代码后边,如果加上http://www.sina.com.cn
那么新浪网将被屏蔽而无法访问。
3721为了保住他的网络实名业务,不得不保住他插件的推广量,而3721用这种手段,在威胁并强迫着许多网站为他弹插件。而许多网站却敢怒不敢言。***网站是受害者之一,而除他之外,还后一长串名单。
3271就像中国互联网的黑社会,他知道你电脑里的所有信息,他占据着本属于网民的中国互联网,把他划为属于自己的地盘,牢牢控制,即便是sina、sohu、netease、qq这样的门户大腕,慑于3721的淫威,在3721面前也是敢怒不敢言,因为就连都无可奈何。
谁来管管3721?
遍查互联网的法律,也没有任何一条对3721这种做法进行管理的规定,甚至没有任何一级管理部门和法律制定者意识到这个问题。3721在利用着自己制定的法律为所欲为,制定着属于他的游戏规则,所有人都必须俯首称臣,上贡交钱。
一方面偷偷摸摸给网民安装,一方面穷凶极恶逼迫其他网站为他弹插件,否则就“封掉”不合作的网站,毕竟,他已经有了90%的占有率,一方面,堂堂正正的大卖网络实名赚钱,甚至威胁北京大学,如果不买这个词,就把这个词卖给别人。
用三条计谋堂而皇之的赚钱,大大方方的管理中国互联网。原本互联网所倡导的平等、自由、公开的原则,在3721的公司利益面前荡然无存。原本上上下下部署严密的部门对他也无可奈何,甚至毫不知情。
中国互联网,被3721继续统治着……,谁来管管?无人来管,无人敢管.
三七二一公司已经一次次的挑战网民的忍耐力和承受能力。不断在技术上进行改进,以达到使网民无法屏蔽该公司网络实名客户端的目的。面对网民愤怒的谴责和自发的屏蔽行动,三七二一公司显然是准备不惜一切代价与这些在其眼里是”刁民“的网友战斗到底。
近日,我们再次发现,三七二一公司进一步改进了他们的”反“屏蔽技术。通过该方法,网络实名的客户端将”永久“的驻留在用户的计算机系统中,即使用户选择了卸载该客户端。除非,用户重新安装其计算机系统,否则,无法手动清除该程序。
在用户浏览网页时,弹出的安装窗口,既没有使用协议,也没有明示程序的发布公司,存在严重的欺诈行为。同时,该程序并不会在用户的计算机中建立”合法“的程序安装目录,而且用户通过一般手段,无法在自己的计算机系统中找到被安装的程序,这无疑严重危害了用户的计算机安全。
对于,三七二一这样的行为,一些法律也专家认为,三七二一公司已经严重违反了中华人民共和国国务院于 1997 年颁布实施的《计算机信息网络国际联网安全保护管理办法》中的相关条款,以及《中华人民共和国消费者保护法》的相关内容。
在此,我们仅代表那些深受三七二一网络实名”病毒“之苦的用户,谴责三七二一公司这种毫无商业道德的行为。并且,希望国家有关部门,认真对待该事件,规范市场秩序,创造良好的市场环境。
有网友认为觉得3721客户端软件已经具有部分病毒的性质了。
1 在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备的名字叫做 cnsminkp,驱动程序位于.sys。
2 cnsminkp.sys 一旦加载,无法用命令方式卸载这个驱动程序,即 net stop cnsminkp 是无法停止这个驱动的。 cnsminkp.sys 的文件日期是2004-02-15, 是前几天才release出来的。
3 这个驱动不停地检测cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即会重建这两个文件,并且不停检测service 和software 下面的注册表,确保cnsminkp这个服务的参数保持和它设置的一致,如果被改动,立即会恢复成原来的样子。另外,还确保 run 里有cnsmin.dll。
4 这种死皮赖脸的方式,是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。
cnsminkp.sys 是否表示 cnsmin keep 还是cnsmin kill protect ? 只要你的windowssystem32drivers下有cnsminkp.sys ,肯定中招了。
『贰』 为什么大家不喜欢3721这个软件呢3721有什么不好的地方可以给小妹说说么
凭一般的知识肯定是卸载不了的,仔细看一看
近日接到内网用户来报,在上到某些站点的时候,会被提示安装一个叫3721中文实名的插件,部分用户在不知情的情况下误点“安装”选项,导致该病毒驻留于硬盘上难以杀除。天缘虽是网络管理员,但是对Windows操作系统的确使用得不多,从来也没有用过这个名为3721的插件,但看到用户们焦急地神情,于是答应尽力而为。经过几番努力,终于将其斩于马下。
以下是杀除该病毒得经历及病毒解决方案。
天缘使用一台windowsxp机器,访问用户提供的站点,下载并执行了该插件。该插件为中文,自动安装后重新启动机器后生效,并自带卸载功能。通过安装/卸载前后的对比观察,其驻留性、自身保护性及对系统性能的大量损耗,让天缘确定了该插件确是病毒无疑!
病毒发作现象:
自动将浏览器的“搜索”功能重定向到一个叫www.3721.com的网站,该站点为中文站,且无法修改;
强行在用户ie上添加“情景聊天”、“上网加速”等几个图标;
不断刷新注册表相关键值,以达到成功驻留和大量消耗用户主机资源的目的;
每次启机加载,并自带进程保护功能,在正常地windows启动下难以杀除;
5. 带自动升级功能,每次用户上网使用ie时,该病毒会后台执行升级;
病毒自身特点:
自带卸载功能;该病毒为达到隐藏自身目的,麻痹下载插件用户的目的,提供了卸载程序。但根据天缘的使用情况发现,在卸载后,该病毒程序依然驻留,启动时仍然加载,依然监视、改写注册表;
采用网络升级方式;该病毒为了防止用户以及杀毒软件的杀除,采取定期网上升级的方式,这点与近期的其他Windows主流病毒类似,但值得一提的是该病毒建有公开的病毒升级站点www.3721.com,且站点风格酷似门户、服务类站点,具有极大的欺骗性;
以驱动模式加载;该特性可说是近段时期以来病毒编写的一次技术飞跃,采用驱动模式加载配合挂接hook的方式,在windows下极难查杀(详细技术讨论见后);
提供在浏览器地址栏中输入中文后转到其站点进行关键字查询的搜索服务。前段时间的冲击波克星病毒也曾在感染用户机器后自动连接用户的机器到update.Microsoft.com下载补丁,看来新的病毒越来越多地喜欢提供一些另类功能了;
被动方式传播:利用一些站点来进行传播,而不是主动感染其他机器,这点与当前热门的“美女图片”病毒的方式相近。从主动转向被动,可说是今年一些病毒的新特点;
病毒详细分析:
当用户访问站点的时候,弹出一个控件下载窗口提示用户下载安装,表面上称自己是提供中文实名服务,引诱用户安装;
在安装过程中多处修改用户文件及注册表;
添加文件:
在Documents and Settings\All Users\「开始」菜单\程序\网络实名\ 目录下添加
了解网络实名详细信息.url 86 字节
清理上网记录.url 100 字节
上网助手.url 99 字节
卸载网络实名.lnk 1,373 字节
修复浏览器.url 103 字节
在WINDOWS\Downloaded Program Files\ 下添加
assis.ico 5,734 字节
cns02.dat 1,652 字节
CnsHook.dll 56,320 字节
CnsMin.cab 116,520 字节
CnsMin.dll 179,712 字节
CnsMin.inf 378 字节
sms.ico" 6,526 字节
yahoomsg.ico 5,734 字节
在WINDOWS\System32\Drivers\ 目录下添加
CnsminKP.sys
添加注册表键值:
增加HKEY_LOCAL_MACHINE\SOFTWARE\3721 主键,下设多子键及属性值;
在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 主键下增加
{B83FC273-3522-4CC6-92EC-75CC86678DA4}
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
两个子键
3.在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\主键下增加
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
CnsMinHK.CnsHook.1
四个子键
4. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\主键下增加
{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}子键
5. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\主键下增加
{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}
{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\主键下增加
!CNS子键
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\ 主键下增加
{00000000-0000-0001-0001-596BAEDD1289}
{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}
{5D73EE86-05F1-49ed-B850-E423120EC338}
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}
{FD00D911-7529-4084-9946-A29F1BDF4FE5} 五个子键
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\主键下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四个子键
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\主键下增加
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}子键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下增加
CnsMin子键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下增加
EK_Entry 子键 (提示,这个键将在下次启动机器的时候生效,产生最令人头疼的部分,后文会叙述)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\下增加
CnsMin 子键
HKEY_CURRENT_USER\Software\下增加
3721子键
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset
在重新启动计算机后,上面提到的RunOnce下的EK_Entry生效,在注册表中多处生成最为邪恶的CnsMinKP键值,同时在系统盘的windows/system32/drivers目录下生成CnsMinKP.sys文件,噩梦由此开始。
由于win2k/xp在启动的时候(包括安全模式)默认会自动运行windows/system32/drivers下面的所有驱动程序,于是CnsMinKP.sys被加载,而这个驱动的作用之一,就是保证windows/ Downloaded Program Files目录下的Cnshook.dll和CnsMin.dll以及其自身不被删除;Cnshook.dll的作用则是提供中文实名功能,CnsMin.dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,因此造成系统性能下降,在天缘测试的那台机器上,使得性能大概下降了20%左右。而且由于hook强行挂接的原因,当用户使用断点调试程序的时候将会导致频繁出错,这一点与早期版本的cih导致winzip操作和无法关机类似(关于详细的技术细节,可参看题目为《[转载]3721驻留机制简单研究》一文,地址为 http://www.nsfocus.net/index.php?act=sec_doc&do=view&doc_id=894 原作者Quaful@水木清华)
防删除特性:
该病毒虽然自带一个所谓的“卸载程序”,但事实上核心部分的程序/注册表键值依然没有删除。而且该病毒更是利用各种技术手段,具有极其强大的反删除特性。
windows系统启机(包括安全模式下)便会加载windows/system32/drivers下的CnsMinKP.sys,该驱动该驱动程序过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时,直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。
技术亮点:
天缘不得不承认,3721这个病毒插件可称我作为网管以来面对的最难清除的病毒。近几年来病毒有几次质的突破:cih感染可升级的bios、红色代码打开windows的共享扩大战果、meliza让我们见识了什么是看得到源程序的病毒、mssqlserver蠕虫让我们留意到计算机病毒能攻击的不光是节点还有网络设备、冲击波病毒让我们认识到大量使用同一种操作系统时在出现安全漏洞时的可怕、美女图片病毒让我们知道了将欺骗艺术与软件漏洞结合的威力、而这次3721病毒首次展现了病毒强大的反删除特性,可说是在windows环境下无法杀除的病毒。虽然这是个良性病毒,对系统并没有破坏特性,但依据病毒的发展史,可以预见,这种几近完美的反删除技术将很快被其他病毒所利用,很快将被其他病毒所利用。届时结合网络传播,局网感染带强大反删除功能的病毒或许会让目前windows平台下的杀毒软件遭遇到最大的考验。而这次经历,也让我意识到微软的windows操作系统在人性化、美观化、傻瓜化的背后的危机。作为it同行,我个人对3721病毒作者所使用的种种技术表示钦佩,但新型病毒的潘多拉魔盒,已经被他们打开:
在目前已知的病毒历史上,之前只有几种病毒利用过windows nt下的system32/drivers 下的程序会被自动加载的特性来进行传播,但那些病毒本身编写地不够完善,会导致windows nt系统频繁蓝屏死机,象3721插件病毒这样完美地加载、驻留其他进程,只消耗主机资源,监测注册表及关键文件不导致系统出错的病毒,国内外尚属首次,在技术上比以前那些病毒更为成熟;
如同天缘和大家曾经探讨过的没打sp2以上patch的win2k如何上网下载sp4再安装补丁这样的连环套问题一样。由于drivers目录下的CnsMinKP.sys启机必定加载,而欲不加载它,只有在windows启动后,进注册表改写相应的CnsMinKP键值或者删除该文件,但由于CnsMinKP.sys过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时,直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。使得注册表无法修改/文件无法被删除,让我们传统的杀除病毒和木马的对策无法进行。
驻留ie进程,并自动升级,保证了该病毒有极强大的生命力,想来新的杀除方法一出现,该病毒就会立即升级。Windows上虽然还有mozilla等其他浏览器,但由于微软的捆绑策略和兼容性上的考虑,绝大多数用户一般只安装有ie。上网查资料用ie,寻找杀除3721资料的时候也用ie,如此一来,3721抢在用户前面将自身升级到最新版本以防止被杀除的可能性大大增加,更加增添了杀除该病毒的难度。或许在本文发出后,病毒将会在最短时间内进行一次升级。
附带其他“实用”功能。天缘记得早年在dos下的时候曾遇到一些病毒,在发作的时候会自动运行一个可爱的屏幕保护,或者是自动替用户清理临时文件夹等有趣的功能;后来在windows平台上也曾见过在病毒发作时自动提醒“今天是xx节,xx年前的今天发生了xx历史典故”这样的带知识教育意义的病毒;而3721病毒则是提供了一个所谓的中文域名与英文域名的翻译功能。随着病毒的发展,这样带隐蔽性、趣味性和欺骗性的病毒将越来越多。例如最近的邮件病毒以微软的名义发信,或以re开始的回信格式发信,病毒编写的发展从原来的感染传播、漏洞传播、后门传播逐步向欺骗传播过渡,越来越多的病毒编写者意识到社会工程学的重要性。或许在不久的将来,就会出现以简单的网络游戏/p2p软件为掩饰的病毒/木马。
极具欺骗性:该插件在win98下也能使用,但使用其自带的卸载程序则可比较完美地卸载,而在win2k/xp平台下卸载程序则几乎没用。由此可以看出病毒编写者对社会工程学极其精通:当一个人有一只表时他知道时间;而当他有两只表时则无从判断时间。当在论坛/bbs上win2k/xp的用户提到此病毒无法删除的时候,其他win2k/xp用户会表示赞同,而win98用户则会表示其不存在任何问题属于正常程序的反对意见。两方意见的对立,影响了旁观者的判断。
商业行为的参与。据传该病毒是由某公司编写的,为的是进一步推销其产品,增加其访问量和申请用户。这点上与某些色情站点要求用户下载xx插件,之后不断利用该插件弹出窗口进行宣传的方式很象。天缘不由得想起一个典故。话说当年某公司公司工作人员(当然也有可能是不法者冒充该公司的工作人员)经常打电话恐吓大型的企业单位,无外乎说其中文域名已被xx公司抢注,如不交钱将会导致xx后果云云。兄弟学校中似乎也有受到此公司骚扰的经历:该公司员工打电话到某高校网络中心,起初是建议其申请中文域名,其主任很感兴趣但因价格原因未果。第二次打来的时候,就由劝说变成了恐吓,说该校中文名字已经被xx私人学校注册,如果该校不交钱申请就会有种种可怕后果云云。谁想该校网络中心主任吃软不吃硬,回话:“你既然打电话到此,想来你也知道在中国,xx大学就我们一所是国家承认的,而你们公司在没有任何官方证明的情况下就替申请我校中文域名的私人学校开通,就这点上就可见你们的不规范性,那么如果我私人交钱申请xxx国家领导的名字做个人站点是不是贵公司也受理?遇到类似冒用我校名义行骗及协助其行骗的公司,我们一贯的做法是寻找法律途径解决!”回答甚妙,当然此事后果是不了了之。从相关报道中不难看到,计算机犯罪逐步开始面向经济领域。侵犯私人隐私,破坏私人电脑的病毒与商业结合,是病毒编写由个人行为到商业行为的一次转变,病毒发展的历史由此翻开了新的一章。
病毒查杀方案:
由于网管专题的栏目作用主要是“授人与渔”,天缘把病毒查杀过程经历一并写下,大家共同探讨。
第一回合:
当初见此病毒的时候,感觉不过如此,普通木马而已。依照老规矩,先把注册表里相关键值删除,再把病毒文件一删,然后重新启动机器,等待万事ok。启机一看,注册表完全没改过来,该删除的文件也都在。
结局:病毒胜,天缘败
第二回合:
换了一台机器,下了个卸载帮助工具,以方便监视注册表/文件的改变。我下的是Ashampoo UnInstaller Suite这个软件,能监视注册表/文件/重要配置文件。Ok,再次安装3721插件,把对注册表的改变/文件的改变都记录下来。(值得注意,因为注册表run和runonce的键是下次启动的时候生效的,因此在重新启动后,还要对比一下文件/注册表的改变才能得到确切结果)。然后对比记录,把3721添加的键全部记下来,添加的文件也记录下来。之后我计划是用安全模式启动,删除文件和注册表,所以写了一个save.reg文件来删除注册表里的相关键值(写reg文件在网管笔记之小兵逞英雄那讲有介绍,等一下在文末我提供那个reg文件给大家参考),写了一个save.bat来删除相关文件,放到c盘根目录下。重新启动机器,进入安全模式下,我先用regedit /s save.reg 导入注册表,然后用save.bat删除相关文件。重新启动机器,却发现文件依然存在,注册表也没有修改成功。通常对付木马/病毒的方式全然无效,令我产生如临大敌之感。
结局:病毒胜,天缘败
第三回合:
重新启动机器,这次我采用手工的方式删除文件。发现了问题——对system32/drivers目录下的CnsMinKP.sys,WINDOWS\Downloaded Program Files 目录下的Cnshook.dll和CnsMin.dll都“无法删除”。这样说可能有点不妥当,准确地说法是——删除之后没有任何错误报告,但文件依然存在。于是上网用google找找线索——在绿盟科技找到了一则文章(名字及url见前文),于是明白了这一切都是CnsMinKP.sys这东西搞得鬼。那么,只要能开机不加载它不就行了??但试了一下2k和xp的安全方式下都是要加载system32/drivers下的驱动,而如果想要取消加载,则需要修改注册表,但由于在加载了CnsMinKP.sys后修改注册表相关值无效,导致无法遏制CnsMinKP.sys这个程序的加载。当然,有软驱的朋友可以利用软盘启动的方式来删除该文件,但如果跟天缘一样用的是软驱坏掉的机器怎么办呢?记得绿盟上的文章所说的是——“目前无法破解”。在这一步上,天缘也尝试了各种方法。
我尝试着改这几个文件的文件名,结果没成功;
我尝试着用重定向来取代该文件,如dir * > CnsMinKP.sys ,结果不成功;
我尝试着用 con <文件名> 的方式来覆盖这几个文件,结果发现三个文件中Cnshook.dll可以用这样的方法覆盖成功,但是在覆盖CnsMinKP.sys和CnsMin.dll的时候,居然提示“文件未找到”!?熟悉 con用法的朋友都该了解,无论是文件是否存在,都应该是可以创建/提示覆盖的,但居然出来这么一个提示,看来CnsMinKP.sys着实把系统都骗过了,强!!跟它拼到这里的时候,回想到了在dos下用debug直接写磁盘的时代了,或许用它才能搞定吧?
仔细一想,win2k/xp下似乎没有了debug程序了,而或许问题解决起来也不是那么复杂。再又尝试了几种方法后,终于得到了启示:既然文件不允许操作,那么我操作目录如何?
我先把windows\system32\drivers目录复制一份,取名为drivers1,并将其中的CnsMinKP.sys删除(注意,因为是drivers1中的,所以可以被成功地真正删除掉);
重新启动机器,到安全模式下;
用drivers1目录替代原来的drviers目录
cd windows\system
ren drivers drivers2
ren drivers1 drivers
之后重新启动机器,然后进到windows后先把drivers2目录删除了,然后慢慢收拾残余文件和清理注册表吧。在这里天缘提供一个reg文件,方便各位删除注册表:
Windows Registry Editor Version 5.00(用98的把这行改成regeidt4)
[-HKEY_LOCAL_MACHINE\SOFTWARE\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{5D73EE86-05F1-49ed-B850-E423120EC338}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FD00D911-7529-4084-9946-A29F1BDF4FE5}]
[-HKEY_CURRENT_USER\Software\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OCustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OSearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\EK_Entry]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSAutoUpdate]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSEnable]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSHint]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSList]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSMenu]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSReset]
结局:病毒败,天缘胜
(虽然是成功地删除了它,但是感觉赢得好险,如果该病毒加一个禁止上级文件改名的功能那么就真的没折了,为了预防类似的情形,最后还是找到了彻底一点的办法,见下)
第四回合:
聪明的读者大概已经想到,既然没有办法在硬盘启动对于c盘是fat32格式的机器,想到这里已经找到了解决办法——用win98启机软盘启动机器,然后到c盘下删除相关文件,然后启动到安全模式下用save.reg把注册表搞定就行了。问题是——大多数win2k/xp都使用的是新的ntfs格式,win98启机软盘是不支持的!怎么办?有软驱的机器可以做支持NTFS分区操作的软盘,用ntfsdos这个软件就能做到(详情请见http://www.yesky.com/20020711/1620049.shtml一文)。而跟天缘一样没有软驱的朋友,别忘记了win2k/xp开始加入的boot,不光是能够选择操作系统而已,而是跟linux下的lilo和grub一样,是一个操作系统引导管理器——换句话说,如果我们能在硬盘上做一个能读写NTFS的操作系统,再用boot进行引导,那么不是就可以在无软驱的情形下实现操作c盘的目的了么?在网络上找到vFloppy.exe 这个软件,它自带一个支持读写ntfs的镜象文件,并且使用简单,非常傻瓜化(详情见http://www.yesky.com/SoftChannel/72350068425883648/20040226/1771849.shtml 一文,顺便一提新版本的yFloppy已经自带支持ntfs读写的img文件了)。然后删除3721的相关文件,重新启动后清理注册表和删除相关文件就行了。
到此,我们终于把3721这个阴魂不散地幽灵彻底赶出了我们的硬盘!!
由于不少网站基于各种原因,在显示页面的时候都会弹出3721的下载窗口,很容易误点。在ie中就能屏蔽掉该站以及其他恶意的任何下载。具体方法可见(http://www.yesky.com/20030416/1663721.shtml 一文)。
截止发稿为止,天缘所知不少同行网管已经在网关上做了对该地址的屏蔽,防止不知情的用户无辜受害。网络安全任重道远,还要靠大家的努力才能把一些害群之马斩草除根。
402947901
『叁』 3721上网助手的免疫问题
最强杀马软件!!2007/06/02 19:15AVG Anti-Spyware 7.5、超级巡警 V3.5 、360安全卫士请看全文。有原版下载地址AVG原Ewido中文版
AVG Anti-Spyware 7.5简体中文绿色版(原Ewido)
AVG Anti-Spyware -- 极致安全 完美防护.
针对因特网上传播的新一代安全威胁的有效解决方案.
确保您的数据安全,保护您的隐私,抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁.
在易于使用的界面之下,我们为您提供了高级的扫描和探测方式以及时下最尖端的技术.
反病毒程序只能提供针对危急爆发的威胁如木马,蠕虫,拨号程序,劫持程序,间谍软件和键盘记录程序的有限的保护.而这正是AVG Anti-Spyware保护的出发点,它能补充现有的安全应用程序从而创建一个完整的安全系统 -- 因为只有完整的安全系统才能有效地工作.
AVG Anti-Spyware 7.5是ewido anti-spyware 4.0的全新高度改进的版本.
ewido anti-spyware 4.0已经被AVG Anti-Spyware 7.5代替并且不再可供(以旧名称)销售和下载.
AVG Anti-Spyware 7.5含有相同的ewido技术,但是带有更为增强的特性:
高度改进的清除性能
更低的资源使用
支持附加的语言
AVG Anti-Spyware的特性
新 完全复新的用户界面
新 可以创建例外
新 安全删除文件的粉碎器
新 XP反间谍
新 浏览器帮助程序对象查看器
新 分层服务提供器查看器
启发式探测未知威胁
扫描和清除Windows注册表
支持扫描NTFS交换数据流
每日更新数据库
通过使用强特征码防止补丁
分析工具(启动,连接和进程)
智能联机更新
在压缩文档内扫描
安全探测和删除动态链接库木马
通过模拟探测通用加密器
探测通用捆绑程序
免费电子邮件支持
自动清除引擎
可疑文件隔离
多语言用户界面
加强版的附加特性
新 计划扫描
实时监视整个系统
内存扫描探测活动的威胁
核心层自我保护保证了无缝监视
自动联机更新
ewido 的杀马效力无可替代,新一代产品更添加几百处更新和更全样本库,占用内存明显减少,启动更快,带来更多惊喜,几个月前ewido被捷克的Grisoft(AVG)收购,继而发布最新平台,简而言之,就是AVG Internet Security Suite 的组件。
原版下载http://download.ewido.net/ewido-setup.exe汉化包下载:http://www.newpaid.com/down/ewido/hanhua.rar
附件内还有二个注册机简体中文版下载:http://guru0.grisoft.cz/softw/70/filedir/inst/ewido-setup_4.0.0.172b.exe
超级巡警 V3.5
专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工具,提供系统 /IE修复、隐私保护和安全优化功能,提供了全面的系统监测功能,使你对系统的变化了如指掌,配合手动分析可近100%的查杀未知恶意代码!
升级改动:
1.安全优化-系统修复中加入修复磁盘文件关联功能
2.初步解决软件启动时写屏造成的闪烁问题
3.增强监控功能,在病毒库更新后智能对敏感位置检测
4.升级模块将主动下载KEY,用户不用在担心KEY过期或者损坏的问题。
5、文件粉碎机的UI小调整
6、信任列表增加全选菜单
7、修正在内存扫描时仍然可以点击快速扫描的BUG。
8、进程管理增加强制使用微软数字签名校验菜单,钩选后将只使用微软签名来验证进程和模块文件。
8、服务管理增加强制使用微软数字签名校验菜单,钩选后将只使用微软签名来验证服务文件和对应的DLL模块。
9、进程管理增加隐藏已知DLL的选项,默认开启,方便一目了然的查找...
http://www.skycn.com/soft/29107.html#download
===============
360安全卫士v3.4版
漏洞补丁集中分发功能,网管批量安装补丁好帮手 new!
· 支持局域网共享下载漏洞补丁,更可自定义漏洞补丁保存目录
· 提供U盘病毒免疫功能,阻止U盘病毒入侵
· 漏洞补丁扫描更精准,更新更及时,为各类突发漏洞提供及时有效的解决方案
增量升级,更快速升级特征库 new!
· 支持增量升级,更新特征库更快速
· 首页显示最新特征库信息,更了解查杀最新动向
扫描更多可疑位置,诊断报告更精确 new!
· 扫描更多恶意软件隐匿位置,更多列出系统可疑内容
· 诊断报告更精确,更准确更快速定位系统问题
超强查杀
· “破冰”技术,追击查杀广告软件asn.2、灰鸽子等最新变种。
· 查杀9000余款流行木马,1000余款恶意软件,每日增加中
免费杀毒
· 赠送价值320元的正版卡巴斯基杀毒V6.0,病毒库每小时更新,7*24小时全面服务
· 第一时间推出各类免费病毒专杀工具,熊猫烧香、灰鸽子尽数杀除
http://dl.360safe.com/setup.exe
『肆』 3721占用的本地端口怎么才能断开
对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置如下:
1.通用篇(适用系统Win2000/XP/server2003),最近我在论坛看了一些文章,发现大家都有一个误区,就是哪个端口出漏洞就关闭哪个端口,其实这样是不能保证系统安全的,正确的方法应该是先了解清楚自己需要开放哪些端口,了解完毕后,把自己不需要的端口统统关闭掉,这样才能保证系统的安全性。
比如说你的电脑是一台服务器,服务器需要有Mail Server和WEB服务,还要有FTP服务,这些只需要开放21、25、80、110就足够了。其它的就应该全部关闭。
关闭的方法:点击“开始→控制面板→网络连接→本地连接→右键→属性”,然后选择“Internet(tcp/ip)”→“属性”,。在 “Internet(tcp/ip)属性”对话框中选择“高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”,。在这里分为3项,分别是TCP、UDP、IP协议。假设我的系统只想开放21、80、25、110这4个端口,只要在“TCP端口”上勾选“只允许”然后点击“添加”依次把这些端口添加到里面,然后确定。注意:修改完以后系统会提示重新启动,这样设置才会生效。这样,系统重新启动以后只会开放刚才你所选的那些端口 ,其它端口都不会开放。
2.利用系统自带防火墙关闭端口(适用系统WinXP/Server 2003)
微软推出WinXP之后的操作系统本身都自带防火墙,用它就可以关闭掉不需要的端口,实现的步骤也很简单。
具体设置:“控制面板”→“本地连接”→“高级”,把“Inernet连接防火墙”下面的选项勾选上,如图所示,然后点击“设置”,出现如图所示窗口。假设我们要关闭135端口(所有使用Win2000或者是WinXP的用户马上关闭135端口,因为最新的漏洞可以利用这个端口攻击服务器获取权限),135端口用于启动与远程计算机的RPC连接。我们可以在“高级设置”窗口的“服务”选项卡中点击“添加”按钮,。在“服务设置”对话框中把各项按图中所示填写好之后一路确定就可以了。这样防火墙就自动启动了,启动以后“本地连接”图标会出现一个可爱的小锁头。
以上就是利用系统本身自带防火墙关闭端口的方法。当然了,有条件的朋友还可以使用第三方防火墙来关闭端口。
『伍』 以前3721和百度
3721就是一款IE插件,让用户不用输入网址,直接输入中文就能转到网版页。由于以前监权管不严,大家都搜索些乱七八糟的东西,后来被周鸿伟卖给雅虎,成了雅虎助手。
网络从一开始就是做搜索的,你说的竞争貌似没听说过
『陆』 3721和奇虎网的创始人为啥都是一个人
人家有资本去开肯定就能开的了
能做成功也说明他个人的能力肯定好
开创了一个高度后 又会去创造另一个高度
『柒』 如何彻底删:系统设置篡改-Hwslrww恶意程序.急!
IE浏览器如何修复
了解了恶意程序的种种恶习,现在咱们就一起来瞧瞧如何去清除它!说到修复IE,大家都会想到3721上网助手必不可少!其实也不过就是看中了它的能从IE中点一个按钮就能修复IE的快捷之处吧,简单易懂(安装方法:进入上网助手网站http://zs.3721.com/start.htm,在页面靠右的位置有“安装上网助手”,点击即可安装).以下参照上网助手2005来阐述其使用方法!
."一键搞定"
首先当然是用一键搞定的功能,快速解决问题,方法是点击上网助手页面"功能导航"上方的"一键修复"按钮.它的功能主要有:修复系统,清理痕迹和删除垃圾!
2."一键修复"
有没有发现在上网助手功能导航里的"IE修复"项里还有个"一键修复".那么在你一键搞定后,也可以再试试这个...它是IE修复专家为您提供的快捷而安全的修复方式,通常可以解决大部分用户的问题。在整个修复过程中,IE修复专家会智能选择修复方案,您只需点击 [立即修复] 按钮即可。主要功能有:
· 查杀运行中的恶意程序
· 查杀运行中的间谍软件
· 查杀运行中的广告软件
· 查杀运行中的木马
· 查杀运行中的其他恶意程序
清理恶意程序启动项
· 清理注册表Run项中的恶意启动项
· 清理开始菜单启动组中的恶意启动项
· 清理win.ini/system.ini中的恶意启动项
· 清理非法的文件关联项
· 清除系统启动时弹出的广告对话框
· 清理非法的计划任务
· 清理其他未公开的启动项
解除对系统功能的非法限制
· 恢复被禁用的“注销、运行、关闭”菜单
· 恢复被禁用的“注册表编辑器”
· 恢复“导入注册表文件”功能
· 恢复被隐藏的“控制面板”
· 恢复被隐藏的“网上邻居”
· 恢复“我的电脑”中被隐藏的硬盘
· 恢复“控制面板”中被隐藏的图标
解除对IE功能的非法限制
· 恢复被禁用的“Internet选项”
· 恢复被禁用的浏览器右键菜单
· 恢复被禁用的“查看源文件”菜单
清理浏览器外挂程序
· 清除已知的恶意右键菜单
· 清除已知的恶意ActiveX插件
· 清除已知的恶意工具栏按钮
· 清除已知的恶意工具条
消除对IE浏览器的劫持
· 恢复被篡改的IE首页和搜索页
· 恢复被篡改的IE空白页和默认页
· 恢复被篡改的IE浏览器标题和OE标题
· 清除已知的恶意网址转向插件
· 清除已知的恶意BHO、LSP等
· 清除已知的恶意Hosts表项
· 清除所有受信任站点
· 恢复默认浏览器为IE
· 恢复“链接栏”的标题
呵~功能强大吧!可你瞧仔细拉..它如此强大也只能解决大部分问题!
3."恢复IE外观"
当完成以上两步后,应该可以说算完成了修复...但想过吗,那些顽固的程序有可能会留下不少的尾巴吧.那么我们就可以用助手的该功能去整理自己的IE外观拉.你只需在它下面的列表中勾选您不需要的项目,点击 [立即清除] 按钮即可删除!功能有:清理IE右键菜单、清理IE工具栏、清理IE工具栏.
三、保护IE设置
被恶意程序给折腾了一回吧,哈哈,不想让您的IE再次遇难?现在就开启“IE保护”吧!在功能导航里就有个"IE保护设置"的项。IE保护可以即时保护浏览器的关键项,确保任何时候都不被恶意程序篡改。勾选要保护的项,然后点击“立即设置”按钮...它主要保护以下IE项:IE首页、IE默认页、IE为默认搜索引擎、IE标题、"Internet选项" 、IE的默认浏览器.
恶意网站在修改IE的同时,往往也会修改系统启动项,因此建议同时保护系统启动项(推荐增加此保护,后边会说到此启动项).
小提示:如果在使用了启动项保护过程中您将一些正常程序启动项的增加设置为了"不允许",您可以使用上网助四、屏蔽和举报恶意网站
既然那些恶意网站如此可恶,为什么不屏蔽它们、让它们根本无法接近我的IE?3721上网助手就提供了屏蔽恶意代码的功能。点击功能导航里"安全防护"下的"屏蔽恶意代码",勾选其屏蔽的选项.然后点击"立刻设置",就会生效。如此乎只是起到屏蔽的作用,可屏蔽的恶意代码库都是由3721专家分析归纳总结的,类似于病毒库,这就需要经常的更新才能抵御更新更强的恶意程序!而我们作为恶意网站的受害者是不是应该将那些该死的痛恨的网站向3721举报呢。以后的分析就交给3721的专家吧。为了自己,为了更多的人免遭毒害。我们应该全民动员起来,见一个杀一个,知道一个就举报一个,来创造一个属于我们干净的IE环境吧!(手功能导航里"优化启动"的"启动加速"功能恢复这些启动项。五、防止重启动再次感染 赶尽杀绝
是不是做完以上这些,我们就能肯定IE已经修复,恶意程序已经清除呢?答案肯定的说"NO"---是否你会经常感觉到刚刚3721修复后还是好的,怎么一开机又坏拉?难道是3721的无能?嘿,这也许就是所谓的魔高一尺吧!那到底是怎么回事呢...其实,还是恶意程序在作怪拉!恶意程序通常会善于伪装自己或将自己独立于其它目录下!
我们可以使用助手的功能导航下"优化加速"里的"电脑启动加速"查看启动项的程序,可以看到启动的时候启动了哪些程序.当看到有可疑的程序时,可以去掉前边的勾选就可以在下次开机的时候不启动了!当然了,如果你不知道哪些是可疑的或者误勾了选择(比如播放器的启动等都是必要的),那么下次启动后,再进到这里来勾上就可以拉...简单易用吧!
『捌』 怎样删除这个病毒HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS
是3721!
3721实在太恶心了。不小心中招,居然怎么也删不掉。3721的驻留机制在[1]
中进行了分析,由此可见,3271的防删除手段是非常高超的。删注册表中相关3721的
表项,删%WINNT%\Downloaded Program Files中含CnsMin的文件(特别是那个CnsMin.dll)
都没有作用(它会自恢复)。我在删除几次后,浏览器浏览%WINNT%\Downloaded Program
Files已经看不到任何3721的文件,而在DOS下看,却是一大堆!网上很多关于删除3721的
办法,不过很多都过时了,一个较完善的删除办法参见[2]. 不过最关键的问题还是无法
切断系统装载CnsMin.dll的途径: 直接去目录下rename CnsMin.dll,没有用; 启动到安
全模式,CnsMin.dll已经驻留,从而无法进一步清除;启动到安全模式的命令行模式,又
看不见%WINNT%\Downloaded Program Files目录。看来只有通过Windows光盘,在Recovery
Control下才能不在3721的控制下访问硬盘,去掉3721的相关文件了。以下是我在[2]的
基础上总结的步骤:
(1) 拔掉网线,这样中断3721从网络下载文件的途径。
(2) 准备一张Win2k的可启动安装光盘 (对于WinXP系统,WinXP盘最好,不过Win2K光盘也
可以用,并且不要超级用户密码就可以进入Recovery Console, 这个是M$的超级大
Bug).
(3) 光盘插入,重起机器,从光盘启动,进入安装Win2K的界面。等需要的驱动都装载好
之后,系统问是要安装新系统,还是Repair, 按"R"键Repair, 然后系统问是要进入
Recovery Console还是进行应急盘修复,按"C"键进入Recovery Console.然后,系统
列出存在的Windows系统,让你选择,此时按"1"键,然后"回车"键(千万不要直接按
"回车",否则系统认为不需要维护,重起了)。然后按提示输入administrator的密码,
成功进入Recovery Console.
(4) 进入后,问题就简单了。注意,此时del命令只能删单个文件,rmdir也只能删空目录。
进入%WINNT%\Downloaded Program Files,删掉3721子目录,一个个删调cnsio.dll
以及其它所有以CnsMin开头的文件。再进入%WINNT%\system32\drivers,删掉那个
CnsMinKP.sys文件。注意,此时,系统只允许你在%WINNT%中操作,访问其它上层目
录均显示"access denied"。不过这已足够。删完后,移掉光盘,重起机器。
(5) 系统再度起来时,3721不能装载需要的文件,就乖乖任你蹂躏了(嘿嘿,真是有报仇
的快感). 删除这些东西:
(a) 任务管理窗口里面,终止所有Rundll32的进程(主要其中有个3721的)
(b) 删除目录C:\Program Files\3721
(c) 打开注册表,删除HKLM\Software\Microsoft\Windows\CurrentVersion\Run下含
3721文件的Rundll32调用
(d) 在整个注册表里搜索含关键字3721的key,删之
(e) 在整个注册表里搜索含关键字CnsMin的key,删之(可能有几个删不掉,没关系)
(f) 在HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\下删除整个
!CNS
(g) 在HKCU\Software\Microsoft\Internet Explorer\Main\下,删除诸如CNSEnable,
CNSList此类以CNS打头的Value.
(6) 3721已经全部删除。现在打开IE浏览器,工具菜单-->Internet选项-->安全-->受限制
的站点-->点击"站点"按钮,然后把“3721.com”加入,这样以后拒绝访问 3721 的一
切网页,以免再被装上他们的网络shit.
(7) 重起机器,插网线。结束。
『玖』 3721驱动病毒怎么彻底清除
3721是个木马,很垃圾
你用它的卸载是永远删不干净的;删注册表时也有几个项目是不让回删的,很麻烦答。去下载个超级兔子(华军软件园的,放心),免费,不注册也让用
http://www.onlinedown.net/soft/2636.htm
注册名:PHOENIX
注册码:MSCNC-COPGN-SWBKW-WAQBU-EDGOS
它提供了对3721的专业卸载,在“优化王”里的“专业卸载”里,“下一步”就解决了,干净
『拾』 怎样彻底清除3721这个流氓软件
由于这个3721网络实名插件是使用Rundll32.exe调用连接库的,系统无法终止Rundll32.exe进程,所以我们必须重新启动计算机,按 F8 进入安全模式(F8 只能按一次,千万不要多按!)之后,单击 开始 -> 运行 regedit.exe 打开注册表,进入:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\删除键:CnsMin其键值为:Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32(如果是win98,这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\删除整个目录:!CNS这个目录在 Internet 选项 -> 高级 中加入了3721网络实名的选项。HKEY_LOCAL_MACHINE\SOFTWARE\3721\ 以及 HKEY_CURRENT_USER\Software\3721\删除整个目录:3721注:如果您安装了3721的其它软件,如 极品飞猫等,则应删除整个目录:HKEY_LOCAL_MACHINE\SOFTWARE\3721\CnsMin 以及 HKEY_CURRENT_USER\Software\3721\CnsMinHKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\删除键:CNSEnable 其键值为:a2c39d5f删除键:CNSHint 其键值为:a2c39d5f删除键:CNSList 其键值为:a2c39d5f在删除完注册表中的项之后,还需要删除存储在硬盘中的3721网络实名文件。删除如下文件:C:\WINNT\DOWNLO~1 目录下(这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\ 下同)2001-08-09 15:34 <DIR> 37212001-08-02 17:03 40,960 cnsio.dll2001-08-08 14:14 102,400 CnsMin.dll2001-08-24 23:14 42 CnsMin.ini2001-08-09 10:18 13,848 CnsMinEx.cab2001-07-06 17:57 32,768 CnsMinEx.dll2001-08-25 02:52 115 CnsMinEx.ini2001-08-25 02:51 17,945 CnsMinIO.cab2001-08-02 17:02 32,768 CnsMinIO.dll2001-08-24 23:15 40,793 CnsMinUp.cabC:\WINNT\DOWNLO~1\3721 目录下2001-08-02 17:03 40,960 cnsio.dll2001-08-24 15:53 102,400 CnsMin.dll2001-07-06 17:59 213 CnsMin.inf2001-08-24 15:48 28,672 CnsMinIO.dll以上文件全部删除,这样3721网络实名“病毒”就从您的计算机中全部清除了。最后,重新启动计算机,进入正常模式。现在已经完全没有3721网络实名的捆饶了!
要是不放心可以在你的电脑上安装通用网址的插件,这样3721就决对进不来了