主题：【文摘】3721对相信它的网民们说：你们被我强奸了！ -- 我心飞翔

转一帖

最近，3721 系统刚刚升级，手段更为卑劣及霸道。

1 在设备驱动层加了保护，而且是boot时立即启动，即使在安全模式时也会启动。这个设备的名字叫做 cnsminkp,驱动程序位于windowssystem32driverscnsminkp.sys

2 cnsminkp.sys 一旦加载，无法用命令方式卸载这个驱动程序，即 net stop cnsminkp 是无法停止这个驱动的。 cnsminkp.sys 的文件日期是2004-02-15, 是前几天才release出来的。

3 这个驱动不停地检测cnsminkp.sys 是否存在，cnsmin.dll是否存在，如果不存在，立即会重建这两个文件，并且不停检测service 和software 下面的注册表，确保cnsminkp这个服务的参数保持和它设置的一致，如果被改动，立即会恢复成原来的样子。另外，还确保 run 里有cnsmin.dll

4 这种死皮赖脸的方式，是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。