1,首先卸载3721的网络失明,
2,安全模式下,REGEDIT。然后找 所有3721和CNSMIN的关键字,然后全部删除。
3,下载3721完整卸载程序。建议以安全模式运行, http://dl.pconline.com.cn/html/1 ... &pn=0&.html
如果这个软件有些REGISTRY里的东西始终删不干净,自己找出来,SAFE MODE手工删除。这时候你需要以下做参考,如果还不行,就没办法了。
1、在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备的名字叫做cnsminkp,驱动程序位于windowssystem32driverscnsminkp.sys。
2、cnsminkp.sys 一旦加载,无法用命令方式卸载这个驱动程序,即 net stop cnsminkp 也是无法停止这个驱动的。cnsminkp.sys 的文件日期是2004-02-15,是前几天才release出来的。
3、这个驱动不停地检测cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即会重建这两个文件,并且不停检测service 和software 下面的注册表,确保cnsminkp这个服务的参数保持和它设置的一致,如果被改动,立即会恢复成原来的样子。另外,还确保在注册表run子键下始终存在cnsmin.dll,以达到开机立即运行的目的。
4、这种死皮赖脸的方式,是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。
本人对3721这种无赖的行径深恶痛绝,对如何从自己的电脑里赶走这个病毒做了一些尝试,希望给大家一些参考。
本人的系统为Win2000Pro版,系统分区为NTFS
1。用DOS软盘启动,使用NTFSforDOS专业版(注意,试用版只能读文件,不能删文件)对NTFS分区进行操作。为什么要在不进入Win2000的情况下对系统进行操作,实在是迫不得已,因为无论以何种方式(Normal,SafeMode,CommandPromot)启动Win2000,cnsminkp.sys都会被加载,其进程在任务管理器看不见,也关不掉,也就无法清除该文件。
2。删除目录
“C rogram Files3721”
“C:WINNTDownloaded Program Files3721”(这个目录在Win2000下看,其内容与现在看到有很大区别,“3721”这个目录在Win2000下根本看不见)
如果“C:WINNTDownloaded Program Files”目录下还有其他可疑的目录,如Baidu,一并删了吧!
3。删除文件
“C:WINNTsystem32driverscnsminkp.sys”
4。重新启动到Win2000_SafeMode,对注册表进行处理,对照下面键值,都删了:
HKEY_CLASSES_ROOTclsid{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_CLASSES_ROOTclsid{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOTclsid{6d8f256b-6ab8-4398-8f86-1e56207db77a}
HKEY_CLASSES_ROOTclsid{b83fc273-3522-4cc6-92ec-75cc86678da4}
HKEY_CLASSES_ROOTclsid{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOTclsid{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOTclsid{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOTcnshelper.ch
HKEY_CLASSES_ROOTcnshelper.ch.1
HKEY_CLASSES_ROOTcnsminhk.cnshook
HKEY_CLASSES_ROOTcnsminhk.cnshook.1
HKEY_CLASSES_ROOTinterface{df692509-d9ef-48a0-9cd0-3aa5b81f6f68}
HKEY_CLASSES_ROOTsoftwaremicrosoftwindowscurrentversionexplorerbrowser helper objects{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOTsoftwaremicrosoftwindowscurrentversionexplorerbrowser helper objects{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOTsoftwaremicrosoftwindowscurrentversionexplorerbrowser helper objects{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOTsoftwaremicrosoftwindowscurrentversionexplorerbrowser helper objects{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOTtypelib{a5adeae7-a8b4-4f94-9128-bf8d8db5e927}
HKEY_CURRENT_USERsoftware3721
HKEY_LOCAL_MACHINEclsid{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINEclsid{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINEclsid{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_LOCAL_MACHINEclsid{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINEclsid{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_LOCAL_MACHINEsoftware3721
HKEY_LOCAL_MACHINEsoftwareclassesclsid{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINEsoftwareclassesclsid{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINEsoftwareclassesclsid{b835c273-3522-4cc6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINEsoftwareclassesclsid{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINEsoftwareclassestypelib{aab6bce3-1df6-4930-9b14-9ca79dc8c267}
HKEY_LOCAL_MACHINEsoftwareinterchina
HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet exploreradvancedoptions!cns
HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet exploreradvancedoptions!cns
HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet explorerextensions{5d73ee86-05f1-49ed-b850-e423120ec338}
HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet explorerextensions{ecf2e268-f28c-48d2-9ab7-8f69c11ccb71}
HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet explorerextensions{fd00d911-7529-4084-9946-a29f1bdf4fe5}
HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet explorertoolbar{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionapp managementarpcachecnsmin
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionapp managementarpcache{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorerbrowser helper objects{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorerbrowser helper objects{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorerbrowser helper objects{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorershellexecutehooks{b83fc273-3522-4cc6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionmoduleusagec:/windows/downloaded program files/cns02.dat
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionmoduleusagec:/windows/downloaded program files/cnshook.dll
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionmoduleusagec:/windows/downloaded program files/cnsmin.dll
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionruncesmain.dll
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionruncnsmin
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrunhelper.dll
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrunonce3721c:progra~13721autolive.dll253343
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionshareddllsc:windowsdownloaded program filescns02.dat
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionshareddllsc:windowsdownloaded program filescnshook.dll
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionshareddllsc:windowsdownloaded program filescnsmin.dll
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionuninstallcnsmin
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionuninstall{1b0e7716-898e-48cc-9690-4e338e8de1d3}
5。删除以下文件:
systemroot+system32assist.dll
systemroot+system32bdhelper.dll
systemroot+system32cesweb.dll
systemroot+system32cnshook.dll
systemroot+systemassist.dll
systemroot+systembdhelper.dll
systemroot+systemcesweb.dll
systemroot+systemcnshook.dll
systemroot+systemregkper.dll
6。删除以下目录:
c ocuments and settingsall users.windowsstart menuprogramschinese keywor
c:progra~13721assist
programfilesdir+3721
systemroot+downloaded program files3721
以上步骤之后,应该已清除3721了,XP类似。
下一步如何免疫,这个方法不错,将“http://*.3721.com”、“http://*.baidu.com”加入IE的受限站点。
对于如何确保IE的安全,本人建议IE的普通网站安全级别设置为“高”,认为可靠的网站如“CSDN”可以加入受信任站点,其安全级别可以设置低一些。 |
发表于 2005-3-3 05:25:55
发表于 2006-2-28 09:43:28
发表于 2006-3-8 19:51:22
