主题:去除3721的体会 -- 直抒胸臆
- 共: 💬 28 🌺 8
在信息技术里看到3721的内容,不知在新兵营如何回帖,就只好发在这里了。
3721 有不同的版本,低版本的很容易就可从注册表删掉( 我同事的3721一分钟就搞定了),也可以用一些3721清除软件去掉,03年我就是这
样去掉它的(注意这里不是指3721自带的卸载,3721自带卸载程序是个陷阱,根本就不卸载,完全的挂羊头卖狗肉又一次暴露其阴险一面)可
是牛皮癣式的就不易了,我整整与它搏斗了4天。现在谈谈体会,希望对大家有帮助。牛皮癣式的3721的大概机制,网友3721rubbish
(http://3721rubbish.blogchina.com/)谈的很清楚,我在这里转述,总结并补充一下。
牛皮癣式的3721的厉害我体会主要是三点:
第一可以自动上网更新自己,第二它是利用Rundll32.exe调用连接库的,系统无法终止Rundll32.exe进程。也就无法阻止其运行。而且对
system32/drivers目录下的CnsMinKP.sys始终无法删除。第三当你用注册表编辑器(不论是正常启动还是安全方式启动,不论是windows自带的
还是第三方的编辑器)删除注册表中的3721相关内容时,你会发现根本删不掉,因为这个流氓已经更改了“权限”,有些键值它不让你acccess。
此外,它还有一些流氓手段,例如我的机器是装了norton防火墙的,可是我偶然发现,3牛皮癣721已经自动把自己加入了“允许访问”的程序中
,真是流氓的可以。
网上能找到的卸载3721的程序我都试过一遍,都对这个流氓毫无办法,感谢网友3721rubbish,主要基于他的方法并结合我的摸索,我终于把这
个牛皮癣去掉了。方法简述如下
1.准备工作:
找一张启动盘(光盘,软盘都可),安装一个第三方的注册表编辑软件(我用的是Registry Workshop)
2.断开网络,从启动盘启动机器,删除windows/system32/drivers目录下的CnsMinKP.sys
3.重新启动机器进入安全模式下,用Registry Workshop打开注册表,操作注册表前,先在选项>设置 勾上“尝试强制进入拒绝访问的注册表项”
然后查找3721 和 cns 字符串,凡是有3721的都应删掉,绝大部分带cns的也可删除,这里需要甄别一下(例如超级解霸有带cns的键值)。如
怕误删可参考3721rubbish给出的如下列表逐一删掉。如果发现删除过程有删不掉情况,就要检查一下权限是否被限制了,如果被限制了,先改
回完全控制再删。
[-HKEY_LOCAL_MACHINESOFTWARE3721]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH.1]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINESOFTWAREClassesInterface\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions!CNS]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionUninstallCnsMin]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_CURRENT_USERSoftware3721]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOCustomizeSearch]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOSearchAssistant]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchCustomizeSearch]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchSearchAssistant]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerShellExecuteHooks\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunCnsMin]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnceEK_Entry]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSAutoUpdate]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSEnable]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSHint]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSList]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSMenu]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSReset]
注册表干净后删除相关目录下的内容如为 C:WINDOWSDOWNLO~1 和program files\3721
自此机器应该是把这个牛皮癣去掉了。
为防止再次感染,应该赶紧堵塞漏洞。在ie中和防火墙中把.3721.com,3721.net 等等(我是google了一下3721把凡是和3721有关的网站设为禁
止访问)。
一点感想:杀不如防,被动的防不如主动的防,希望这次网协真的有实际措施让这种流氓行为真正得到处罚,网友也应该联合起来抵制其所谓
的联盟,让这种流氓彻底失去生存土壤。保护网络的健康。
我和我朋友都装上了3721,一直在用,拦截广告、动画和保护IE还不错,能不能说一下为什么不能装这个呢?
这个问题是很讨厌。
我用猫上网,我对3721在我机器上占用线路往它的网站上发收东西十分敏感。
1月份那个版本的3721,可以在安全模式下,修改注册表删掉。后来3721也自己升级,当然从网站上自己down东西下来升级的。就无论如何删不掉了。我只好在windows2000启动前装了个引导,在dos下终于干掉了。
真是个麻烦。公安局怎么不把3721列为病毒
我刚才的贴实际是回信息技术里的3721贴的。你可看一下里面列的为何把它列为10大流氓之首所列的理由。
此外你列的拦截广告、动画是给你的小甜头,至于保护ie完全是笑话,其阴险可见一般,它本身就是最毒的木马,例如看一下你的历史记录里有没有一些莫名其妙的链接,那是它的杰作。此外,它为了防删除,里面有个定时器,让你的机器效率下降。看看河里网友的帖子吧(搜索3721)。
我用的方法差不多。费劲啊。
关键是气人,就好像被无赖粘上了甩不掉。
选[修改],在题目的“分类词”里选【原创】就可以了。
好处是即增加点击率,又容易被版主们发现而加精
用一个winpe的启动盘就可以去除掉上面所说的所有关于3721的东西了
IE的工具菜单里有一个易趣购物,怎么删除啊?