主题：【原创】与狼共舞，3721 病毒实战 -- landkid

再说说我的经历，看看新版的 3721 都有什么高招。

首先 3721 在进程列表里是不显示的。它的核心文件叫做 cnswin.dll，你在进程中是找不到的。所以

无法关闭。它是个驱动，并非系统进程。

----------------------------------

单纯删除注册表中的启动项阻止它？呵呵，这个对 3721 太小儿科了。它早已练就了铜皮铁骨。见下文

----------------------------------

它是以驱动模式加载；该特性可说是近段时期以来病毒编写的一次技术飞跃，采用驱动模式加载

配合挂接hook的方式，在windows下极难查杀。

---------------------------------------------------------------------

当我采用手工的方式删除文件的时候，对system32/drivers目录下的CnsMinKP.sys，

WINDOWSDownloaded Program Files 目录下的Cnshook.dll和CnsMin.dll 都“无法删除”。

因为文件正在使用。这一切都是CnsMinKP.sys这东西搞得鬼。那么，只要能开机不加载

它行不行？我尝试了一下， Windows xp的安全方式下都是要加载system32/drivers下的驱动，

而如果想要取消加载，则需要修改注册表。但由于CnsMinKP.sys 已经被加载，之后修改注册表

相关值无效，即使删除了启动项中的选项，它会自己修正回来。（你知道为啥电脑变慢了吧。

它在背后忙着不断的循环检测注册表中的相关值）下次启动一样还是按照 3721 的路子走。

---------------------------------------------------

我的实际经历是，用卸载软件立刻搜索出 3721 在启动组里的注册表值，各类文件，

包括 RunOnce 的值。 一概删除之，但我立刻重新启动 Windows 的 安全模式，

指望能避开 3721 的启动（我根本没指望普通模式能避的开。）但是仍然不行，

注册表被改回，照老样子仍然启动了 3721 ， 3721 这个目录和其中的文件

依然正在使用中，不可删除。

-----------------------------------------------------------

所以可以肯定的是，结合专门删除软件 和 安全模式，一样 无法遏制已经加载了的

CnsMinKP.sys 这个程序的再次加载。单纯的 Windows 路子，目前没有办法可以

遏止 3721 加载的，这是我见到最完美的强行驻留方式。也是我见到编制最完美的病毒。

它已经达到了 Windows 下完美的癞皮方式，以至于几乎毫无办法，只能进入 DOS

才算解决了问题。但试问，周围人谁能没事玩玩 DOS 呢。对于一般人来说，3721 实在是

个至善至美，永生不死的病毒。。。。。

--------------------

对付它的好办法当然是以防为主，要防住它，还是相对容易的多的。

本文主要探讨的是如果已经中招的情况下，如何才能把它踢出去。

---------------------

不过结论是 "真 TNND 的麻烦。。。。"