哗!3721比病毒还要野蛮呀!

完美组合

大家注意啦!特别是电脑新手.如果你看到3721<上网助手>不顺眼.千万别去御载它.否则弄的你非去请电脑高手不可.我就在昨天尝到了甜头.到今天下午电脑才弄好.师傅走时吩咐:以后不要想删除3721.可见它野蛮.同行们.是不是我的技术不好.还是它真的很野蛮?[em05][em05][em05][

mieer

<>没尝试过，不知道，真是这样啊？：）</P>

lioudi

的确很头疼的一个东西。我用尽了所有防御方法抵制了它，可是还有一次中招了，因为装了一个游戏玩居然默认给安装上了，这小游戏就是“阿达连连看”最近挺火的游戏。而且3721自己提供的御载程序根本就是假的。所以最好就是搜索注册表把所有有关的东西给删除掉。也可以利用第三方小工具删除这个插件，部分DLL文件会死缠住系统，必须进入安全模式才能删除。所以有必要弄个控件屏蔽工具，然后再把3721有关的网址加到受限站点，一般就不会装上了。这东西已经是神民共愤了。

小盏

不会吧？？我已经下了一个啊！！！！

完美風暴

<>可以用软件删掉它啊~~~</P><>   </P>

11

<>  晕忽忽  用了这个有什么后果啊??</P>

11

<> 晕死了 我上次中了恶意代码在网上查到说这个能解 所以就下了 下载直前也听说过这个软件不好 但我不知道它到底有什么不好哦 到现在还不知道哦 老大可不可以解释一下它有什么坏处啊??????</P>[em06]

完美组合

唉,到现在我每次重新起动电脑时.键盘就不能用.接口必须重新插一遍才可以用.御载以前从来没有这种事发生过.&lt;键盘工作指示灯也正常亮的.就是重新插一下就好了&gt;.不知那位高手指点一下?谢啦.[em05][em05][em05]

lioudi

<>答楼上：</P><>这问题一般只在网吧才出现，主要是因为美萍网管软件造成。如果安装上这网吧软件客户端就可以解决键盘无响应的情况。
其他解决办法没发现，我猜测是任子行这软件和3721结合一起才会导致的。假如你从网上下载一个干净的美萍妙管家网管，绝对不会发生这样的事情。而任子行也不过是被授权使用这软件，然后自行改装的，一句话：垃圾一个。所以我感觉很奇怪，那些网吧老板为什么就一定要听什么公安的装这个软件，使用其他管理软件同样具有刷卡功能，不一定就用任子行授权版本啊。只要达到符合规定就可以了，干吗非装这个呢。系统冲突什么的都是这造成的。
另外如果键盘是使用USB接口就不会有开机无法检测到的情况存在。目前我还找不出这软件是从哪一层开机过程中限制了这功能的，COMS里查过没问题，难道是进入系统时故意屏蔽掉PS/2接口？一直找不到这软件中包含的命令语句，我扫描了注册表，然后再安装扫描新加注册项也没找到。这东西确实很麻烦。</P>

清风剑客

偶暂时还没碰到过,所以没什么可说的

完美组合

谢谢9楼朋友的耐心解答，如果以后有新的这方面消息，麻烦你告知小弟一些。[em05][em05][em05]

孤独穷少爷

<>首先告诉大家3721上"诺顿"病毒榜了！！！ </P><>呵呵我们一起来了解一下吧！！</P><>1 在设备驱动层加了保护，而且是boot时立即启动，即使在安全模式时也会启动。这个设备的名字叫做 cnsminkp,驱动程序位于windowssystem32driverscnsminkp.sys。
　　2 cnsminkp.sys 一旦加载，无法用命令方式卸载这个驱动程序，即 net stop cnsminkp 是无法停止这个驱动的。 cnsminkp.sys 的文件日期是2004-02-15, 是前几天才release出来的。
　　3 这个驱动不停地检测cnsminkp.sys 是否存在，cnsmin.dll是否存在，如果不存在，立即会重建这两个文件，并且不停检测service 和software 下面的注册表，确保cnsminkp这个服务的参数保持和它设置的一致，如果被改动，立即会恢复成原来的样子。另外，还确保 run 里有cnsmin.dll。
　　4 这种死皮赖脸的方式，是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。 </P><>　　cnsminkp.sys 是否表示 cnsmin keep 还是cnsmin kill protect ? 只要你的windowssystem32drivers下有cnsminkp.sys ,肯定中招了。</P>

孤独穷少爷

<>再来说说怎么删除！！！</P><>3721安装后，写了几个dll在 Winnt\Download program files下。并且在windows下是看不见的（显示所有文件，不隐藏系统文件也看不见，连搜索文件也找不到）。然后在注册的Run键值下写入了CnsMin.dll,这样每次开机CnsMin.dll自动驻留在内存里,因此这个时候清注册表是没用的，它马上又会往注册表里写。所以只能先把CnsMin.dll改名，然后重起，再清除注册表就没问题了。（象不象病毒？呵呵）。   
    在MS-DOS方式下dir 一看。嘿嘿！那个Download program iles下面有n多3721的文件。
    把CnsMin.dll改名（如果直接输入del *.* 结果是拒绝删除，不行！）
然后重起。系统会显示CnsMin.dll不存在（要的就是这个效果！）。
    现在好了可以到注册表里把3721,CnsMin,网络实名搜索一遍，统统杀了，具体步骤如下。

单击 开始 -&gt; 运行 regedit.exe 打开注册表，进入：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除键：CnsMin
其键值为：
Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32
（如果是win98，这里的 C:\WINNT\DOWNLO~1\ 为
                     C:\WINDOWS\DOWNLO~1\）

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions删除整个目录：!CNS
这个目录在 Internet 选项 -&gt; 高级 中加入了3721网络实名的选项。

HKEY_LOCAL_MACHINE\SOFTWARE\3721\ 以及 HKEY_CURRENT_USER\Software\3721删除整个目录：3721

注：如果您安装了3721的其它软件，如“极品飞猫”等，则应删除
整个目录：HKEY_LOCAL_MACHINE\SOFTWARE\3721\CnsMin
　　以及　HKEY_CURRENT_USER\Software\3721\CnsMin

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main删除键：CNSEnable 其键值为：a2c39d5f
删除键：CNSHint 其键值为：a2c39d5f
删除键：CNSList 其键值为：a2c39d5f


　　在删除完注册表中的项之后，还需要删除存储在硬盘中的3721
网络实名文件。 再进 MSDOS... del *.* 也可以把
WINNT/Download Program Files 下的东西全部咔咔～～

　　删除如下文件：

2001-08-02 17:03 40,960 cnsio.dll
2001-08-08 14:14 102,400 CnsMin.dll
2001-08-24 23:14 42 CnsMin.ini
2001-08-09 10:18 13,848 CnsMinEx.cab
2001-07-06 17:57 32,768 CnsMinEx.dll
2001-08-25 02:52 115 CnsMinEx.ini
2001-08-25 02:51 17,945 CnsMinIO.cab
2001-08-02 17:02 32,768 CnsMinIO.dll
2001-08-24 23:15 40,793 CnsMinUp.cab

现在，终于把3721全部手动清除了，然后打开IE浏览器，选择菜单：
工具--&gt;Internet选项--&gt;安全--&gt;受限制的站点--&gt;点击“站点”
按钮，然后把“3721.com”加入，这样以后拒绝访问 3721 的一切
网页，以免再被装上他们的网络实名！

关闭各窗口，然后重新启动计算机，整个世界终于可以清净了......</P>

孤独穷少爷

<>既然知道怎么删除还是没用的！！我们要去真正的了解它为什么会死灰复燃的。</P>
<>1. CnsMin.dll的驻留方式

3721的核心文件：CnsMin.dll
通常存在于&lt;Windows Directory&gt;Downloaded Program Files下。

通过注册表Run键值加载：Rundll32 &lt;dir&gt;CnsMin.dll, Rundll32

CnsMin.dll提供了一个函数Rundll32供Rundll32.exe调用
但这个函数只是调用一个真正的驻留函数Rundll32Main()。

Rundll32Main()伪代码：

void Rundll32Main()
{
hMutex = CreateMutex("CNSMINMUTEX");
        if(ERROR_ALREADY_EXISTS)
        {
                CloseHandle(hMutex);
                exit;
        }
        if(IsWindowsNT()) {
                SetProcessSecurityInfo();
        }
        else {
                RegisterProcessAsService();
        }
        CheckVersion();
        
        // CnsMinKP.sys/vxd 内核驱动程序，保护3721关键文件和注册表项不被删除
        ContactWithCnsMinKPDriver();
        
        // 关键的hook，负责将CnsMin.dll注入其他进程空间
        InstallCBTHook();
        
        // 关键的hook，负责将CnsMin.dll注入其他进程空间
        InstallCallWndProcHook();
        
        // CnsMinIO.dll 负责IE地址栏下方的提示
        InitCnsMinIO();
        
        // 一些注册表信息
        InitRegistry();
        
        // 保护CnsMin.dll的钩子不被卸载或抢先
        InstallGuardTimer();

        CreateMsgWindow();

        // Message loop
        while (true)
        {
                GetMessage(&amp;msg);
                TranslateMessage(&amp;msg);
                DispatchMessage(&amp;msg);
        }
}

CnsMin主要是通过WH_CBT和WH_CALLWNDPROC两个全局钩子注入IE进程空间的。注入
IE后，又安装了WH_KEYBOARD，WH_DEBUG等钩子。其中对3721实现其“实名转换”
有用的是WH_KEYBOARD。这是一个本地钩子。

CnsMin为了保证自己的优先级最高，用了一个定时器函数反复安装钩子，无疑会造成
系统性能的下降。

我曾经尝试过自己安装一个WH_DEBUG钩子阻止3721钩子的调用，确实起到了效果，
立即可以使3721失效。但这种方法3721仍然驻留IE进程内，属于治标不治本的方法。

强制结束Rundll32进程，可以暂时卸载3721的驻留代码。但CnsMin.dll通过COM注册已经
嵌入IE组件中，重新启动IE后，该进程又会重新启动。

2. 3721的防删除手段
  文件系统驱动：CnsMinKP*.sys 针对NT/2000/XP有不同版本（98下面是CnsMinKP.vxd）
  通常存在于&lt;System directory&gt;drivers目录。

  驱动程序，由Windows启动时加载。

  该驱动程序过滤了对文件和注册表的删除操作。试图删除3721的关键文件和注册表项时，
直接返回一个TRUE，使Windows认为删除已经成功，但文件和注册表实际上还是在那里。
  该驱动程序还有一个黑名单（保存在某个外部文件中），阻止Windows读取其他3721的
竞争对手的插件文件。

  目前还没有找到停止该驱动的方法。

  删除方法：在Windows启动前（例如，98下面退出到DOS）删除CnsMinKP*.sys文件。
注意：3721具有自恢复能力。某些关键文件被删除后，其它模块会试图从3721网站重新
下载。所以彻底删除前需要断开网络连接。 </P>

孤独穷少爷

<>接上</P><>针对目前版本的删除步骤： </P><>(a) 运行3721自己提供的删除程序。可以删掉大部分的文件。</P><>(b) 从DOS启动，删除残存文件，如CnsMin.dll，CnsMinKP*.*等
    可能的目录：Downloaded Program Files目录，Program Filesú1目录，drivers目录</P><>(c)重起后按F8，选“Saft Mode”，进入安全模式后，启动注册表编辑器，即在开始菜单中的运行里输入“regedit”，展开注册表到[HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run]，在右侧窗口中删除CnsMin键。</P><>(d)展开注册表到[HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼InternetExplorer＼AdvancedOptions]，删除整个!CNS目录，这个目录在“Internet选项-高级”中加入了3721网络实名的选项；展开注册表到[HKEY＿LOCAL＿MACHINE＼SOFTWARE＼3721]以及[HKEY＿CURRENT＿USER＼Software＼3721]，删除整个3721目录；展开注册表到[HKEY＿CURRENT＿USER＼Software＼Microsoft＼InternetExplorer＼Main]，删除CNSEnable等几个以CNS开头的键。在HKEY_LOCAL_MACHINE: WindowsCurrentVersionRun SYSTEMCurrentControlSet中如果有关于3721或CNS等字符的键值也全部删除。</P><>(e)启动Windows，进入桌面时Windows会报告一些模块找不到的错误，不用理会。继续搜索注册表，还有些零散的注册表信息未被删除，用关键字查找，见了就删，注意不要误删了别的键值就好。</P><>(f)在删除完注册表中的项之后，还需要删除存储在硬盘中的3721网络实名文件，一个比较快捷的方法是：打开“开始”菜单，点击【查找-文件或文件夹】，分三次在“名称”中输入3721、CnsMin、cnsio分别查找，然后把找到的文件全部删除。</P>

孤独穷少爷

<>至于怎么防止3721在你的电脑上自动安装，我们可以利用下面这个软件来解决！还有什么问题，希望大家提出来，这样也好让我再研究研究！先行谢过呵呵。</P><>http://iseekyou.8u8.com/rj/3721.rar</P><>本人特喜欢解决疑难杂诊。。。。</P>

小盏

<>楼上的，什么时候帮我的电脑做一次全身体检吧。</P><>有病治病，没病防病。</P><>谢谢先哦。</P>

完美组合

<>孤独穷少爷.先谢谢啦!你讲的很祥细.但我有了上次的教训.这次我也不敢轻举妄动了.就让它在我的电脑里寄生吧!</P>[em05][em05][em05]

完美風暴

<>完全可以不费力的清理掉，</P><>只要你轻轻一点，就删的一干2净，然后打个免疫补丁。包你以后不会再中</P>

红笺无语

<>我现在发现，到了关键的时候，3721根本就不能发挥作用，如穷少说的那样，要彻底删除岂不是很麻烦。</P>