1,首先卸載3721的網絡失明,
2,安全模式下,REGEDIT。然後找 所有3721和CNSMIN的關鍵字,然後全部刪除。
3,下載3721完整卸載程序。建議以安全模式運行, http://dl.pconline.com.cn/html/1/3/dlid=13133&dltypeid=1&pn=0&.html
如果這個軟件有些REGISTRY裏的東西始終刪不幹淨,自己找出來,SAFE MODE手工刪除。這時候你需要以下做參考,如果還不行,就沒辦法了。
1、在設備驅動層加了保護,而且是boot時立即啟動,即使在安全模式時也會啟動。這個設備的名字叫做cnsminkp,驅動程序位於windows\system32\drivers\cnsminkp.sys。
2、cnsminkp.sys 一旦加載,無法用命令方式卸載這個驅動程序,即 net stop cnsminkp 也是無法停止這個驅動的。cnsminkp.sys 的文件日期是2004-02-15,是前幾天才release出來的。
3、這個驅動不停地檢測cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即會重建這兩個文件,並且不停檢測service 和software 下麵的注冊表,確保cnsminkp這個服務的參數保持和它設置的一致,如果被改動,立即會恢複成原來的樣子。另外,還確保在注冊表run子鍵下始終存在cnsmin.dll,以達到開機立即運行的目的。
4、這種死皮賴臉的方式,是決心要在內存和硬盤上駐留cnsminkp.sys 和cnsmin.dll,使係統性能迅速下降。
本人對3721這種無賴的行徑深惡痛絕,對如何從自己的電腦裏趕走這個病毒做了一些嚐試,希望給大家一些參考。
本人的係統為Win2000Pro版,係統分區為NTFS
1。用DOS軟盤啟動,使用NTFSforDOS專業版(注意,試用版隻能讀文件,不能刪文件)對NTFS分區進行操作。為什麽要在不進入Win2000的情況下對係統進行操作,實在是迫不得已,因為無論以何種方式(Normal,SafeMode,CommandPromot)啟動Win2000,cnsminkp.sys都會被加載,其進程在任務管理器看不見,也關不掉,也就無法清除該文件。
2。刪除目錄
“C:\Program Files\3721”
“C:\WINNT\Downloaded Program Files\3721”(這個目錄在Win2000下看,其內容與現在看到有很大區別,“3721”這個目錄在Win2000下根本看不見)
如果“C:\WINNT\Downloaded Program Files\”目錄下還有其他可疑的目錄,如Baidu,一並刪了吧!
3。刪除文件
“C:\WINNT\system32\drivers\cnsminkp.sys”
4。重新啟動到Win2000_SafeMode,對注冊表進行處理,對照下麵鍵值,都刪了:
HKEY_CLASSES_ROOT\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_CLASSES_ROOT\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOT\clsid\{6d8f256b-6ab8-4398-8f86-1e56207db77a}
HKEY_CLASSES_ROOT\clsid\{b83fc273-3522-4cc6-92ec-75cc86678da4}
HKEY_CLASSES_ROOT\clsid\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOT\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOT\clsid\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOT\cnshelper.ch
HKEY_CLASSES_ROOT\cnshelper.ch.1
HKEY_CLASSES_ROOT\cnsminhk.cnshook
HKEY_CLASSES_ROOT\cnsminhk.cnshook.1
HKEY_CLASSES_ROOT\interface\{df692509-d9ef-48a0-9cd0-3aa5b81f6f68}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOT\typelib\{a5adeae7-a8b4-4f94-9128-bf8d8db5e927}
HKEY_CURRENT_USER\software\3721
HKEY_LOCAL_MACHINE\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\clsid\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_LOCAL_MACHINE\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\clsid\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_LOCAL_MACHINE\software\3721
HKEY_LOCAL_MACHINE\software\classes\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\classes\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\software\classes\clsid\{b835c273-3522-4cc6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINE\software\classes\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\software\classes\typelib\{aab6bce3-1df6-4930-9b14-9ca79dc8c267}
HKEY_LOCAL_MACHINE\software\interchina
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\advancedoptions\!cns
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\advancedoptions\!cns
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{5d73ee86-05f1-49ed-b850-e423120ec338}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{ecf2e268-f28c-48d2-9ab7-8f69c11ccb71}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{fd00d911-7529-4084-9946-a29f1bdf4fe5}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks\{b83fc273-3522-4cc6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cns02.dat
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cnshook.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cnsmin.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cesmain.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\helper.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\3721c:\progra~1\3721\autolive.dll253343
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cns02.dat
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cnshook.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cnsmin.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
5。刪除以下文件:
systemroot+\system32\assist.dll
systemroot+\system32\bdhelper.dll
systemroot+\system32\cesweb.dll
systemroot+\system32\cnshook.dll
systemroot+\system\assist.dll
systemroot+\system\bdhelper.dll
systemroot+\system\cesweb.dll
systemroot+\system\cnshook.dll
systemroot+\system\regkper.dll
6。刪除以下目錄:
c:\documents and settings\all users.windows\start menu\programs\chinese keywor
c:\progra~1\3721\assist
programfilesdir+\3721
systemroot+\downloaded program files\3721
以上步驟之後,應該已清除3721了,XP類似。
下一步如何免疫,這個方法不錯,將“http://*.3721.com”、“http://*.baidu.com”加入IE的受限站點。
對於如何確保IE的安全,本人建議IE的普通網站安全級別設置為“高”,認為可靠的網站如“CSDN”可以加入受信任站
點,其安全級別可以設置低一些。
2,安全模式下,REGEDIT。然後找 所有3721和CNSMIN的關鍵字,然後全部刪除。
3,下載3721完整卸載程序。建議以安全模式運行, http://dl.pconline.com.cn/html/1/3/dlid=13133&dltypeid=1&pn=0&.html
如果這個軟件有些REGISTRY裏的東西始終刪不幹淨,自己找出來,SAFE MODE手工刪除。這時候你需要以下做參考,如果還不行,就沒辦法了。
1、在設備驅動層加了保護,而且是boot時立即啟動,即使在安全模式時也會啟動。這個設備的名字叫做cnsminkp,驅動程序位於windows\system32\drivers\cnsminkp.sys。
2、cnsminkp.sys 一旦加載,無法用命令方式卸載這個驅動程序,即 net stop cnsminkp 也是無法停止這個驅動的。cnsminkp.sys 的文件日期是2004-02-15,是前幾天才release出來的。
3、這個驅動不停地檢測cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即會重建這兩個文件,並且不停檢測service 和software 下麵的注冊表,確保cnsminkp這個服務的參數保持和它設置的一致,如果被改動,立即會恢複成原來的樣子。另外,還確保在注冊表run子鍵下始終存在cnsmin.dll,以達到開機立即運行的目的。
4、這種死皮賴臉的方式,是決心要在內存和硬盤上駐留cnsminkp.sys 和cnsmin.dll,使係統性能迅速下降。
本人對3721這種無賴的行徑深惡痛絕,對如何從自己的電腦裏趕走這個病毒做了一些嚐試,希望給大家一些參考。
本人的係統為Win2000Pro版,係統分區為NTFS
1。用DOS軟盤啟動,使用NTFSforDOS專業版(注意,試用版隻能讀文件,不能刪文件)對NTFS分區進行操作。為什麽要在不進入Win2000的情況下對係統進行操作,實在是迫不得已,因為無論以何種方式(Normal,SafeMode,CommandPromot)啟動Win2000,cnsminkp.sys都會被加載,其進程在任務管理器看不見,也關不掉,也就無法清除該文件。
2。刪除目錄
“C:\Program Files\3721”
“C:\WINNT\Downloaded Program Files\3721”(這個目錄在Win2000下看,其內容與現在看到有很大區別,“3721”這個目錄在Win2000下根本看不見)
如果“C:\WINNT\Downloaded Program Files\”目錄下還有其他可疑的目錄,如Baidu,一並刪了吧!
3。刪除文件
“C:\WINNT\system32\drivers\cnsminkp.sys”
4。重新啟動到Win2000_SafeMode,對注冊表進行處理,對照下麵鍵值,都刪了:
HKEY_CLASSES_ROOT\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_CLASSES_ROOT\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOT\clsid\{6d8f256b-6ab8-4398-8f86-1e56207db77a}
HKEY_CLASSES_ROOT\clsid\{b83fc273-3522-4cc6-92ec-75cc86678da4}
HKEY_CLASSES_ROOT\clsid\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOT\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOT\clsid\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOT\cnshelper.ch
HKEY_CLASSES_ROOT\cnshelper.ch.1
HKEY_CLASSES_ROOT\cnsminhk.cnshook
HKEY_CLASSES_ROOT\cnsminhk.cnshook.1
HKEY_CLASSES_ROOT\interface\{df692509-d9ef-48a0-9cd0-3aa5b81f6f68}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOT\typelib\{a5adeae7-a8b4-4f94-9128-bf8d8db5e927}
HKEY_CURRENT_USER\software\3721
HKEY_LOCAL_MACHINE\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\clsid\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_LOCAL_MACHINE\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\clsid\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_LOCAL_MACHINE\software\3721
HKEY_LOCAL_MACHINE\software\classes\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\classes\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\software\classes\clsid\{b835c273-3522-4cc6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINE\software\classes\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\software\classes\typelib\{aab6bce3-1df6-4930-9b14-9ca79dc8c267}
HKEY_LOCAL_MACHINE\software\interchina
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\advancedoptions\!cns
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\advancedoptions\!cns
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{5d73ee86-05f1-49ed-b850-e423120ec338}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{ecf2e268-f28c-48d2-9ab7-8f69c11ccb71}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{fd00d911-7529-4084-9946-a29f1bdf4fe5}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks\{b83fc273-3522-4cc6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cns02.dat
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cnshook.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cnsmin.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cesmain.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\helper.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\3721c:\progra~1\3721\autolive.dll253343
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cns02.dat
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cnshook.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cnsmin.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
5。刪除以下文件:
systemroot+\system32\assist.dll
systemroot+\system32\bdhelper.dll
systemroot+\system32\cesweb.dll
systemroot+\system32\cnshook.dll
systemroot+\system\assist.dll
systemroot+\system\bdhelper.dll
systemroot+\system\cesweb.dll
systemroot+\system\cnshook.dll
systemroot+\system\regkper.dll
6。刪除以下目錄:
c:\documents and settings\all users.windows\start menu\programs\chinese keywor
c:\progra~1\3721\assist
programfilesdir+\3721
systemroot+\downloaded program files\3721
以上步驟之後,應該已清除3721了,XP類似。
下一步如何免疫,這個方法不錯,將“http://*.3721.com”、“http://*.baidu.com”加入IE的受限站點。
對於如何確保IE的安全,本人建議IE的普通網站安全級別設置為“高”,認為可靠的網站如“CSDN”可以加入受信任站
點,其安全級別可以設置低一些。
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
