病毒查殺方案:
由於網管專題的欄目作用主要是“授人與漁”,天緣把病毒查殺過程經曆一並寫下,大家共同探討。
第一回合:
當初見此病毒的時候,感覺不過如此,普通木馬而已。依照老規矩,先把注冊表裏相關鍵值刪除,再把病毒文件一刪,然後重新啟動機器,等待萬事ok.啟機一看,注冊表完全沒改過來,該刪除的文件也都在。
結局:病毒勝,天緣敗。
第二回合:
換了一台機器,下了個卸載幫助工具,以方便監視注冊表/文件的改變。我下的是Ashampoo UnInstaller Suite這個軟件,能監視注冊表/文件/重要配置文件。Ok,再次安裝3721插件,把對注冊表的改變/文件的改變都記錄下來。(值得注意,因為注冊表run和runonce的鍵是下次啟動的時候生效的,因此在重新啟動後,還要對比一下文件/注冊表的改變才能得到確切結果)。然後對比記錄,把3721添加的鍵全部記下來,添加的文件也記錄下來。之後我計劃是用安全模式啟動,刪除文件和注冊表,所以寫了一個save.reg文件來刪除注冊表裏的相關鍵值(寫reg文件在網管筆記之小兵逞英雄那講有介紹,等一下在文末我提供那個reg文件給大家參考),寫了一個save.bat來刪除相關文件,放到c盤根目錄下。重新啟動機器,進入安全模式下,我先用regedit /s save.reg 導入注冊表,然後用save.bat刪除相關文件。重新啟動機器,卻發現文件依然存在,注冊表也沒有修改成功。通常對付木馬/病毒的方式全然無效,令我產生如臨大敵之感。
結局:病毒勝,天緣敗。
第三回合:
重新啟動機器,這次我采用手工的方式刪除文件。發現了問題——對system32/drivers目錄下的CnsMinKP.sys,WINDOWSDownloaded Program Files 目錄下的Cnshook.dll和CnsMin.dll都“無法刪除”。這樣說可能有點不妥當,準確地說法是——刪除之後沒有任何錯誤報告,但文件依然存在。於是上網用google找找線索——在綠盟科技找到了一則文章(名字及url見前文),於是明白了這一切都是CnsMinKP.sys這東西搞得鬼。那麽,隻要能開機不加載它不就行了??但試了一下2k和xp的安全方式下都是要加載system32/drivers下的驅動,而如果想要取消加載,則需要修改注冊表,但由於在加載了CnsMinKP.sys後修改注冊表相關值無效,導致無法遏製CnsMinKP.sys這個程序的加載。當然,有軟驅的朋友可以利用軟盤啟動的方式來刪除該文件,但如果跟天緣一樣用的是軟驅壞掉的機器怎麽辦呢?記得綠盟上的文章所說的是——“目前無法破解”。在這一步上,天緣也嚐試了各種方法。
我嚐試著改這幾個文件的文件名,結果沒成功;
我嚐試著用重定向來取代該文件,如dir * > CnsMinKP.sys ,結果不成功;
我嚐試著用copy con <文件名> 的方式來覆蓋這幾個文件,結果發現三個文件中Cnshook.dll可以用這樣的方法覆蓋成功,但是在覆蓋CnsMinKP.sys和CnsMin.dll的時候,居然提示“文件未找到”!?熟悉copy con用法的朋友都該了解,無論是文件是否存在,都應該是可以創建/提示覆蓋的,但居然出來這麽一個提示,看來CnsMinKP.sys著實把係統都騙過了,強!!跟它拚到這裏的時候,回想到了在dos下用debug直接寫磁盤的時代了,或許用它才能搞定吧?
仔細一想,win2k/xp下似乎沒有了debug程序了,而或許問題解決起來也不是那麽複雜。再又嚐試了幾種方法後,終於得到了啟示:既然文件不允許操作,那麽##作目錄如何?
我先把windowssystem32drivers目錄複製一份,取名為drivers1,並將其中的CnsMinKP.sys刪除(注意,因為是drivers1中的,所以可以被成功地真正刪除掉);
重新啟動機器,到安全模式下;
用drivers1目錄替代原來的drviers目錄
cd windowssystem
ren drivers drivers2
ren drivers1 drivers
之後重新啟動機器,然後進到windows後先把drivers2目錄刪除了,然後慢慢收拾殘餘文件和清理注冊表吧。在這裏天緣提供一個reg文件,方便各位刪除注冊表:
Windows Registry Editor Version 5.00(用98的把這行改成regeidt4)
[-HKEY_LOCAL_MACHINESOFTWARE3721]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH.1]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINESOFTWAREClassesInterface\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions!CNS]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionUninstallCnsMin]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_CURRENT_USERSoftware3721]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOCustomizeSearch]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOSearchAssistant]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchCustomizeSearch]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchSearchAssistant]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerShellExecuteHooks\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunCnsMin]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnceEK_Entry]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSAutoUpdate]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSEnable]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSHint]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSList]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSMenu]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSReset]
結局:病毒敗,天緣勝。
(雖然是成功地刪除了它,但是感覺贏得好險,如果該病毒加一個禁止上級文件改名的功能那麽就真的沒折了,為了預防類似的情形,最後還是找到了徹底一點的辦法,見下)
第四回合:
聰明的讀者大概已經想到,既然沒有辦法在硬盤啟動對於c盤是fat32格式的機器,想到這裏已經找到了解決辦法——用win98啟機軟盤啟動機器,然後到c盤下刪除相關文件,然後啟動到安全模式下用save.reg把注冊表搞定就行了。問題是——大多數win2k/xp都使用的是新的ntfs格式,win98啟機軟盤是不支持的!怎麽辦?有軟驅的機器可以做支持NTFS分區操作的軟盤,用ntfsdos這個軟件就能做到。而跟天緣一樣沒有軟驅的朋友,別忘記了win2k/xp開始加入的boot,不光是能夠選擇操作係統而已,而是跟linux下的lilo和grub一樣,是一個操作係統引導管理器——換句話說,如果我們能在硬盤上做一個能讀寫NTFS的操作係統,再用boot進行引導,那麽不是就可以在無軟驅的情形下實現操作c盤的目的了麽?在網絡上找到vFloppy.exe 這個軟件,它自帶一個支持讀寫ntfs的鏡象文件,並且使用簡單,非常傻瓜化。然後刪除3721的相關文件,重新啟動後清理注冊表和刪除相關文件就行了。
到此,我們終於把3721這個陰魂不散地幽靈徹底趕出了我們的硬盤!!
由於不少網站基於各種原因,在顯示頁麵的時候都會彈出3721的下載窗口,很容易誤點。在ie中就能屏蔽掉該站以及其他惡意的任何下載。
截止發稿為止,天緣所知不少同行網管已經在網關上做了對該地址的屏蔽,防止不知情的用戶無辜受害。網絡安全任重道遠,還要*大家的努力才能把一些害群之馬斬草除根。
(摘自TOM網)
由於網管專題的欄目作用主要是“授人與漁”,天緣把病毒查殺過程經曆一並寫下,大家共同探討。
第一回合:
當初見此病毒的時候,感覺不過如此,普通木馬而已。依照老規矩,先把注冊表裏相關鍵值刪除,再把病毒文件一刪,然後重新啟動機器,等待萬事ok.啟機一看,注冊表完全沒改過來,該刪除的文件也都在。
結局:病毒勝,天緣敗。
第二回合:
換了一台機器,下了個卸載幫助工具,以方便監視注冊表/文件的改變。我下的是Ashampoo UnInstaller Suite這個軟件,能監視注冊表/文件/重要配置文件。Ok,再次安裝3721插件,把對注冊表的改變/文件的改變都記錄下來。(值得注意,因為注冊表run和runonce的鍵是下次啟動的時候生效的,因此在重新啟動後,還要對比一下文件/注冊表的改變才能得到確切結果)。然後對比記錄,把3721添加的鍵全部記下來,添加的文件也記錄下來。之後我計劃是用安全模式啟動,刪除文件和注冊表,所以寫了一個save.reg文件來刪除注冊表裏的相關鍵值(寫reg文件在網管筆記之小兵逞英雄那講有介紹,等一下在文末我提供那個reg文件給大家參考),寫了一個save.bat來刪除相關文件,放到c盤根目錄下。重新啟動機器,進入安全模式下,我先用regedit /s save.reg 導入注冊表,然後用save.bat刪除相關文件。重新啟動機器,卻發現文件依然存在,注冊表也沒有修改成功。通常對付木馬/病毒的方式全然無效,令我產生如臨大敵之感。
結局:病毒勝,天緣敗。
第三回合:
重新啟動機器,這次我采用手工的方式刪除文件。發現了問題——對system32/drivers目錄下的CnsMinKP.sys,WINDOWSDownloaded Program Files 目錄下的Cnshook.dll和CnsMin.dll都“無法刪除”。這樣說可能有點不妥當,準確地說法是——刪除之後沒有任何錯誤報告,但文件依然存在。於是上網用google找找線索——在綠盟科技找到了一則文章(名字及url見前文),於是明白了這一切都是CnsMinKP.sys這東西搞得鬼。那麽,隻要能開機不加載它不就行了??但試了一下2k和xp的安全方式下都是要加載system32/drivers下的驅動,而如果想要取消加載,則需要修改注冊表,但由於在加載了CnsMinKP.sys後修改注冊表相關值無效,導致無法遏製CnsMinKP.sys這個程序的加載。當然,有軟驅的朋友可以利用軟盤啟動的方式來刪除該文件,但如果跟天緣一樣用的是軟驅壞掉的機器怎麽辦呢?記得綠盟上的文章所說的是——“目前無法破解”。在這一步上,天緣也嚐試了各種方法。
我嚐試著改這幾個文件的文件名,結果沒成功;
我嚐試著用重定向來取代該文件,如dir * > CnsMinKP.sys ,結果不成功;
我嚐試著用copy con <文件名> 的方式來覆蓋這幾個文件,結果發現三個文件中Cnshook.dll可以用這樣的方法覆蓋成功,但是在覆蓋CnsMinKP.sys和CnsMin.dll的時候,居然提示“文件未找到”!?熟悉copy con用法的朋友都該了解,無論是文件是否存在,都應該是可以創建/提示覆蓋的,但居然出來這麽一個提示,看來CnsMinKP.sys著實把係統都騙過了,強!!跟它拚到這裏的時候,回想到了在dos下用debug直接寫磁盤的時代了,或許用它才能搞定吧?
仔細一想,win2k/xp下似乎沒有了debug程序了,而或許問題解決起來也不是那麽複雜。再又嚐試了幾種方法後,終於得到了啟示:既然文件不允許操作,那麽##作目錄如何?
我先把windowssystem32drivers目錄複製一份,取名為drivers1,並將其中的CnsMinKP.sys刪除(注意,因為是drivers1中的,所以可以被成功地真正刪除掉);
重新啟動機器,到安全模式下;
用drivers1目錄替代原來的drviers目錄
cd windowssystem
ren drivers drivers2
ren drivers1 drivers
之後重新啟動機器,然後進到windows後先把drivers2目錄刪除了,然後慢慢收拾殘餘文件和清理注冊表吧。在這裏天緣提供一個reg文件,方便各位刪除注冊表:
Windows Registry Editor Version 5.00(用98的把這行改成regeidt4)
[-HKEY_LOCAL_MACHINESOFTWARE3721]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH.1]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINESOFTWAREClassesInterface\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions!CNS]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionUninstallCnsMin]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_CURRENT_USERSoftware3721]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOCustomizeSearch]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOSearchAssistant]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchCustomizeSearch]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchSearchAssistant]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerShellExecuteHooks\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunCnsMin]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnceEK_Entry]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSAutoUpdate]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSEnable]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSHint]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSList]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSMenu]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSReset]
結局:病毒敗,天緣勝。
(雖然是成功地刪除了它,但是感覺贏得好險,如果該病毒加一個禁止上級文件改名的功能那麽就真的沒折了,為了預防類似的情形,最後還是找到了徹底一點的辦法,見下)
第四回合:
聰明的讀者大概已經想到,既然沒有辦法在硬盤啟動對於c盤是fat32格式的機器,想到這裏已經找到了解決辦法——用win98啟機軟盤啟動機器,然後到c盤下刪除相關文件,然後啟動到安全模式下用save.reg把注冊表搞定就行了。問題是——大多數win2k/xp都使用的是新的ntfs格式,win98啟機軟盤是不支持的!怎麽辦?有軟驅的機器可以做支持NTFS分區操作的軟盤,用ntfsdos這個軟件就能做到。而跟天緣一樣沒有軟驅的朋友,別忘記了win2k/xp開始加入的boot,不光是能夠選擇操作係統而已,而是跟linux下的lilo和grub一樣,是一個操作係統引導管理器——換句話說,如果我們能在硬盤上做一個能讀寫NTFS的操作係統,再用boot進行引導,那麽不是就可以在無軟驅的情形下實現操作c盤的目的了麽?在網絡上找到vFloppy.exe 這個軟件,它自帶一個支持讀寫ntfs的鏡象文件,並且使用簡單,非常傻瓜化。然後刪除3721的相關文件,重新啟動後清理注冊表和刪除相關文件就行了。
到此,我們終於把3721這個陰魂不散地幽靈徹底趕出了我們的硬盤!!
由於不少網站基於各種原因,在顯示頁麵的時候都會彈出3721的下載窗口,很容易誤點。在ie中就能屏蔽掉該站以及其他惡意的任何下載。
截止發稿為止,天緣所知不少同行網管已經在網關上做了對該地址的屏蔽,防止不知情的用戶無辜受害。網絡安全任重道遠,還要*大家的努力才能把一些害群之馬斬草除根。
(摘自TOM網)
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
