原文地址为:
彻底清除狗太阳的3721病毒完全手册!
我们对Google的爱说不清楚为什么,就是那么执著。我们对3721的憎恨似乎也说不清楚为什么,看起来更执著。Google往我们口袋里塞钱了吗?当然没有。3721抢我们钱包里的钱了吗?似乎也没有。那是为什么呢?因为Google任何时候都尊重网友的意志,而3721干的那 勾当,是" 人"做出来的吗?!
关于3721这个东西的好坏,我一来不肖于说,二来也避免一家之言,看看Google搜索" 删除 3721"的近14万个结果,就知道了。所以我只在这里说说,怎么在NTFS分区下的Windows xp sp2中彻底的清除无耻之极的3721病毒(谢谢一网友 提醒),当然在2000和2003也都差不多(系统在NTFS分区)。
从9x以后,windows启动盘似乎就远离我们了,当然如果你在2000/xp以及2003里还使用FAT32分区格式,清除3721病毒反而更简单了。我记得制作2000的支持NTFS的启动盘需要4张软盘,由于软盘的质量下降确实太快了,在我完完全全抛弃软盘之前,我再也没有凑齐过 4张 完好的软盘
。关于3721病毒的原理,你可以看看
这里。其实这些都是算比较old的东西了,CnsMinKp.sys/vxd刚release出来几天就被人研究明白了机理。由于CnsMinKp.sys被实现成了底层的驱动,恶劣到从安全模式启动系统也会加载
。这个驱动起来后不干任何的好事,就检查该死的3721病毒是否被破坏,而且这个机制居然把微软的
GiantAntiSpyware搞faint掉了
。昨晚我在
dudu的建议下安装了GiantAnitSpyware,并且升级到最高版本。这个软件如果不遇到3721其实还是很不错的了,虽然才beta1。可是造物弄人啊,虽然传说3721和微软还有什么狗屁合作。扫描完毕后,Giant一下就在我的系统查出15个spy类的软件,当然包括3721病毒,并且3721是影响和散布最严重的。于是我就开始清除这些spy ware,其它都很顺利的就清理过去了,可是当Giant清理3721到C:\windows\Downloaded Program Files\目录后,Giant被暗算了。虽然我们没法在系统正常启动时删除CnsMin.dll和CnsHook.dll,但是Giant是可以的,因为它就是专门干这个的呀。不过很不幸,由于Giant不知道有个CnsMinKp的卑鄙服务在非常频繁的监测这个目录,只要文件CnsMin.dll或CnsHook.dll一旦被删除,它就立即重新创建一个。于是Giant说:我删,我删,我删删删;3721说:我贱,我贱,我贱贱贱。它们俩就这么死磕上了,程序Giant进入死循环:(。如下图:
// 这两个dll一旦被删除就马上重建,可见CnsMinKp的扫描是多么的频繁!
昨天发了一篇文章"宇宙里还有没有比3721无耻的软件啊?"求助,再此非常感谢Pumpkin网友的建议,整个清除3721病毒的过程,就是使用Recover Console。这个东西在操作系统的安装盘里,不过默认不安装到系统里,我们直接拿安装盘来运行也是一样的。详细使用方法看上面的连接,这个主题的kb还有中文版的说。
说一下需要删除3721病毒文件的地方,有(默认系统装在C盘):
C:\WINDOWS\Downloaded Program Files\
C:\WINDOWS\ (这个目录里有个Cns*.dat的文件)
C:\WINDOWS\System32\Drivers\
需要说明一下,C:\Program Files\3721\不能在Recover Console里删除,因为Recover Console进入系统没有访问C:\WINDOWS\以外目录的权限。不过还有一点,Recover Console里的del命令不支持统配符,删除文件必须一个一个得来,一共有二十来个Cns*.*文件
。
处理完了Exit重起机器,出一个系统出错:Rundll32.exe不能找到C:\WINDOWS\downlo~1\CnsMin.dll。哈哈,能找到我还不疯掉啊!用Giant在扫描一遍register,没有发现问题,faint。手动查找,发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下还有一个CsnMin注册项——"Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32"。
继续使用CsnMin搜索注册表,还有以下地方需要删除:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CNSMINKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CnsMinKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CNSMINKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\CnsMinKP
HKEY_USERS\S-1-5-21-1708537768-1303643608-725345543-500\Software\Microsoft\Internet Explorer\MenuExt\Quick Search (Yisou.com)
// 不能删除的key需要修改访问权限
通过上面的操作,这个世界终于又清静了
。我为什么要说又?!
转载请注明本文地址: 彻底清除狗太阳的3721病毒完全手册!
我们对Google的爱说不清楚为什么,就是那么执著。我们对3721的憎恨似乎也说不清楚为什么,看起来更执著。Google往我们口袋里塞钱了吗?当然没有。3721抢我们钱包里的钱了吗?似乎也没有。那是为什么呢?因为Google任何时候都尊重网友的意志,而3721干的那 勾当,是" 人"做出来的吗?!
关于3721这个东西的好坏,我一来不肖于说,二来也避免一家之言,看看Google搜索" 删除 3721"的近14万个结果,就知道了。所以我只在这里说说,怎么在NTFS分区下的Windows xp sp2中彻底的清除无耻之极的3721病毒(谢谢一网友 提醒),当然在2000和2003也都差不多(系统在NTFS分区)。
从9x以后,windows启动盘似乎就远离我们了,当然如果你在2000/xp以及2003里还使用FAT32分区格式,清除3721病毒反而更简单了。我记得制作2000的支持NTFS的启动盘需要4张软盘,由于软盘的质量下降确实太快了,在我完完全全抛弃软盘之前,我再也没有凑齐过 4张 完好的软盘
。关于3721病毒的原理,你可以看看
这里。其实这些都是算比较old的东西了,CnsMinKp.sys/vxd刚release出来几天就被人研究明白了机理。由于CnsMinKp.sys被实现成了底层的驱动,恶劣到从安全模式启动系统也会加载
。这个驱动起来后不干任何的好事,就检查该死的3721病毒是否被破坏,而且这个机制居然把微软的
GiantAntiSpyware搞faint掉了
。昨晚我在
dudu的建议下安装了GiantAnitSpyware,并且升级到最高版本。这个软件如果不遇到3721其实还是很不错的了,虽然才beta1。可是造物弄人啊,虽然传说3721和微软还有什么狗屁合作。扫描完毕后,Giant一下就在我的系统查出15个spy类的软件,当然包括3721病毒,并且3721是影响和散布最严重的。于是我就开始清除这些spy ware,其它都很顺利的就清理过去了,可是当Giant清理3721到C:\windows\Downloaded Program Files\目录后,Giant被暗算了。虽然我们没法在系统正常启动时删除CnsMin.dll和CnsHook.dll,但是Giant是可以的,因为它就是专门干这个的呀。不过很不幸,由于Giant不知道有个CnsMinKp的卑鄙服务在非常频繁的监测这个目录,只要文件CnsMin.dll或CnsHook.dll一旦被删除,它就立即重新创建一个。于是Giant说:我删,我删,我删删删;3721说:我贱,我贱,我贱贱贱。它们俩就这么死磕上了,程序Giant进入死循环:(。如下图:
// 这两个dll一旦被删除就马上重建,可见CnsMinKp的扫描是多么的频繁!
昨天发了一篇文章"宇宙里还有没有比3721无耻的软件啊?"求助,再此非常感谢Pumpkin网友的建议,整个清除3721病毒的过程,就是使用Recover Console。这个东西在操作系统的安装盘里,不过默认不安装到系统里,我们直接拿安装盘来运行也是一样的。详细使用方法看上面的连接,这个主题的kb还有中文版的说。
说一下需要删除3721病毒文件的地方,有(默认系统装在C盘):
C:\WINDOWS\Downloaded Program Files\
C:\WINDOWS\ (这个目录里有个Cns*.dat的文件)
C:\WINDOWS\System32\Drivers\
需要说明一下,C:\Program Files\3721\不能在Recover Console里删除,因为Recover Console进入系统没有访问C:\WINDOWS\以外目录的权限。不过还有一点,Recover Console里的del命令不支持统配符,删除文件必须一个一个得来,一共有二十来个Cns*.*文件
。处理完了Exit重起机器,出一个系统出错:Rundll32.exe不能找到C:\WINDOWS\downlo~1\CnsMin.dll。哈哈,能找到我还不疯掉啊!用Giant在扫描一遍register,没有发现问题,faint。手动查找,发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下还有一个CsnMin注册项——"Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32"。
继续使用CsnMin搜索注册表,还有以下地方需要删除:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CNSMINKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CnsMinKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CNSMINKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\CnsMinKP
HKEY_USERS\S-1-5-21-1708537768-1303643608-725345543-500\Software\Microsoft\Internet Explorer\MenuExt\Quick Search (Yisou.com)
// 不能删除的key需要修改访问权限
通过上面的操作,这个世界终于又清静了
。我为什么要说又?!转载请注明本文地址: 彻底清除狗太阳的3721病毒完全手册!
