- == 系统问题,暂停聊天功能。==
- 【征集】西西河的经济学,及清流措施,需要主动参与者,『稷下学宫』新认证方式,24年网站打算和努力目标
主题:去除3721的体会 -- 直抒胸臆
家园 去除3721的体会 在信息技术里看到3721的内容,不知在新兵营如何回帖,就只好发在这里了。
3721 有不同的版本,低版本的很容易就可从注册表删掉( 我同事的3721一分钟就搞定了),也可以用一些3721清除软件去掉,03年我就是这
样去掉它的(注意这里不是指3721自带的卸载,3721自带卸载程序是个陷阱,根本就不卸载,完全的挂羊头卖狗肉又一次暴露其阴险一面)可
是牛皮癣式的就不易了,我整整与它搏斗了4天。现在谈谈体会,希望对大家有帮助。牛皮癣式的3721的大概机制,网友3721rubbish
(http://3721rubbish.blogchina.com/)谈的很清楚,我在这里转述,总结并补充一下。
牛皮癣式的3721的厉害我体会主要是三点:
第一可以自动上网更新自己,第二它是利用Rundll32.exe调用连接库的,系统无法终止Rundll32.exe进程。也就无法阻止其运行。而且对
system32/drivers目录下的CnsMinKP.sys始终无法删除。第三当你用注册表编辑器(不论是正常启动还是安全方式启动,不论是windows自带的
还是第三方的编辑器)删除注册表中的3721相关内容时,你会发现根本删不掉,因为这个流氓已经更改了“权限”,有些键值它不让你acccess。
此外,它还有一些流氓手段,例如我的机器是装了norton防火墙的,可是我偶然发现,3牛皮癣721已经自动把自己加入了“允许访问”的程序中
,真是流氓的可以。
网上能找到的卸载3721的程序我都试过一遍,都对这个流氓毫无办法,感谢网友3721rubbish,主要基于他的方法并结合我的摸索,我终于把这
个牛皮癣去掉了。方法简述如下
1.准备工作:
找一张启动盘(光盘,软盘都可),安装一个第三方的注册表编辑软件(我用的是Registry Workshop)
2.断开网络,从启动盘启动机器,删除windows/system32/drivers目录下的CnsMinKP.sys
3.重新启动机器进入安全模式下,用Registry Workshop打开注册表,操作注册表前,先在选项>设置 勾上“尝试强制进入拒绝访问的注册表项”
然后查找3721 和 cns 字符串,凡是有3721的都应删掉,绝大部分带cns的也可删除,这里需要甄别一下(例如超级解霸有带cns的键值)。如
怕误删可参考3721rubbish给出的如下列表逐一删掉。如果发现删除过程有删不掉情况,就要检查一下权限是否被限制了,如果被限制了,先改
回完全控制再删。
[-HKEY_LOCAL_MACHINESOFTWARE3721]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH.1]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINESOFTWAREClassesInterface\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions!CNS]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionUninstallCnsMin]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_CURRENT_USERSoftware3721]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOCustomizeSearch]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOSearchAssistant]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchCustomizeSearch]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchSearchAssistant]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerShellExecuteHooks\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunCnsMin]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnceEK_Entry]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSAutoUpdate]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSEnable]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSHint]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSList]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSMenu]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSReset]
注册表干净后删除相关目录下的内容如为 C:WINDOWSDOWNLO~1 和program files\3721
自此机器应该是把这个牛皮癣去掉了。
为防止再次感染,应该赶紧堵塞漏洞。在ie中和防火墙中把.3721.com,3721.net 等等(我是google了一下3721把凡是和3721有关的网站设为禁
止访问)。
一点感想:杀不如防,被动的防不如主动的防,希望这次网协真的有实际措施让这种流氓行为真正得到处罚,网友也应该联合起来抵制其所谓
的联盟,让这种流氓彻底失去生存土壤。保护网络的健康。
家园 谢谢你和我们分享你的经验。不过有些地方解释的不是很正确, 比如
系统无法终止Rundll32.exe进程... system32/drivers目录下的CnsMinKP.sys始终无法删除.
3721的狡猾之处在于将自己做成了System driver。在系统启动的时候,它就载入了。一旦载入了,你就没法删除它了。也就是说它总在你的前面,总比你快半拍。
我感觉删除它的办法有三个
1)从CD/软盘启动。如果你用的是FAT32文件分区,那非常简单,window 9x启动盘就可以,如果是NTFS,那你需要一张NT的启动盘(俗称Windows PE盘),这个好多人可能没有。如果你从可以clean boot PC,并且还可以接触硬盘文件,那这时候3721就可以任你屠杀了。
3)硬盘上是双操作系统。比如一个是XP,另一个是Windows2003。如果XP下有3721,那就从Windows 2003启动,然后找到XP下3721的文件,杀之。[/b]
3)将硬盘摘下来,挂在另外一个XP or Higher的计算机上(作非启动硬盘)。这时候,3721的东西只是静态文件,不受任何保护,你可以找到它们将它们干掉。
等3721的文件被干掉了,重新启动计算机,然后再慢慢清理Registry。
家园 可以在安全模式下删除。 上个星期试验了下,好像可以。然后用组策略把program files\3721目录设置成不允许写,嘿嘿,我让你安
家园 好像不那么简单。现在的3721文件CnMinPK.sys做成了System driver 在安全模式下一样载入。如果你有最新版的3721,你可以在安全模式下运行driverquery命令,看看CnMinPK.sys是不是被加载了。
另外你将%Program Files%\3721设为只读也不解决问题。缺省情况下它往那里安装,一旦失败了,它可以转而装到3721A, New3721, 3721Highway等等目录下,你怎么办?
另外,你设为只读,它在安装的时候和你有同样的权限,它可以先修改你的policy然后再安装,不是吗?
家园 老轧有时间做个好事吧 编一个“3721彻底删除工具”,免费放到网上,广大网友一定会奔走相告,老轧以后也将是网络史一个英雄般的人物了!
家园 请问H斑 我最近要重新做机器(本子),直接格式化c盘,重装系统应该能删掉这个3721吧。
ps:还真没有发现有什么问题,我也是自己装的,因为ie首页被篡改,病急乱投医。后来看到网上把这个定为病毒,那就删掉吧。
要是病毒,格盘应该就行吧(以前碰见过一个病毒,格式化系统盘也没用,这个3721没这么厉害吧?希望)
- 复 请问H斑
家园 3721是赖皮一些,但他还不算是病毒,即使是病毒 你重新Format硬盘都是可以的(至少是99.99%),如果愿意,可以重新partition分区。
家园 这样就好 大学时碰见一个病毒寄存在软盘里,只要机器一读盘就染上了,也没发现有什么严重问题(有一小段三国6无法运行,也不知是不是因为这个病毒),但几乎所有的杀毒软件都提示有病毒,还都杀不掉。
当时就格式化系统盘,重装以后居然提示还有!无奈再格,再重装,把硬盘全清干净才搞定。
但没过两天,又染上了――同学的机器,系里的机器,别系的机器都染上了(我怀疑全校都染上了―反正我们学校也不大),大家互相感染,就好像流感传来传去,那时大家都不敢用软盘存文件。
后来好像是用kill给杀掉的(00年的事啦),再后来我就再也不用软驱了。
这个病毒,虽然没有什么大危害,但我现在想起来还是后怕――太麻烦了!
家园 相烦哪个斑斑把这个帖子转到信息技术去,谢啦 家园 问一下,我和楼下的江水一样 也是因为网页被篡改,才用的这个3721,我也不想再这么麻烦了。
我要是直接把c盘格式化重装系统应该没问题吧?
(还有个d盘没有程序只有文件)
当时还是在网上看了别人的介绍才装的,郁闷,这些‘病毒’真是防不胜防
家园 3721 标准的垃圾软件!
家园 3721就像是牛皮癣 沾上了就很难弄掉,所以现在新装系统后立马装上免疫补丁!
家园 还有一个,易趣购物怎么删掉啊? IE的工具菜单里有一个易趣购物,怎么删除啊?
家园 我也深有体会。最好装上机器就用upiea把3721给屏蔽掉。