煮酒论坛

 找回密码
 申请新用户
搜索
热搜: 活动 交友 discuz
查看: 4864|回复: 3

彻底删除3721上网助手的办法[转帖]

[复制链接]
发表于 2005-6-7 19:23:49 | 显示全部楼层 |阅读模式

主要是最近3721改了程序,成为一个系统挂钩驱动,现在在安全模式的命令行下也删不掉那几个文件了,真是没辙,用spybot search & destroy也清除不掉,即使升级最新的数据库。
  当然,3721再猛,现在还没做成dos下的驻留程序(如果真那样作了,就是绝对的病毒),在dos下还是可以废掉其武功的。但是,有这样几个问题:
  1、许多人已经在用单2000和xp系统,根本就没有dos。
  2、好多人没有软驱了,特别是新装机的。我家的两台电脑都没软驱,想作软盘启动到dos下也是不可能的。
  3、光驱启动呢?总有人的光驱是烂的吧?
  4、闪盘启动,这个的拥有者可能比软驱还少……
  5、还有很多人把分区搞成了全ntfs,启动了dos都看不到硬盘!
  老实说,满足以上全部5种条件的恐怕也太倒霉了,但还是有办法的。我的情况比较特殊,除了是fat32免去ntfs一苦之外,上述四条全部满足:没有软驱,闪盘不能启动,光驱是个刻了1000多张盘的残废刻录机,几乎什么盘都不认了……
  与我类似的人可能不是很多,但是,以下的办法是绝对有效的,可以把各位从3721的魔掌里救出来。虽然是综合了许多人高招后的大杂烩,但也算点心得吧:
  我们需要准备的软件有:
  1、spybot search & destroy
  相关地址:
  http://www.skycn.com/soft/15694.html
  2、虚拟启动软驱
  相关地址:
  http://download.pchome.net/system/treak/16979.html

  3、myie2
  好,准备好了这两种软件后,开始行动。
  首先,在控制面板里删除3721的所有东西,包括上网助手、中文邮、网络实名等。放心,这只是心理活动,顺便多删点东西,绝对不可能把3721干掉的。
  其次,启动spybot search & destroy(先升级),扫描系统。如果没有意外,将出现一摩尔与cnsmin有关的东西,这都是3721的附件。如果从来没有运行过此软件,多半还会在机子里扫描出一大堆的间谍程序,扫描完成后按清除选项。
  其他的间谍程序都是可以干掉的,但3721(cnsmin)不可能,他会死赖着不走。软件此时问需不需要下次系统启动时自动运行——以前这样可以干掉3721,现在已经不行了,选否。展开列表中cnsmin的有关分支,记下有关文件的详细位置。一般会是windows\download internet files目录,以及文件名,一般都是cns*.*
  现在安装虚拟启动软驱。
  完成后,重启动,选虚拟软驱启动。启动到dos后,知道该怎么办了吧?进入相关目录,del cns*.*,绝对不要客气,他从来不跟我们讲客气的。
  如果分区是ntfs,在设置虚拟启动软驱时,请加载那个1.5版中自带的ntfs文件。启动后会自动进入一个类似dos shell的管理软件中,在这个软件里可以很方便的对目录和文件进行操作,步骤与纯dos类似。
  一切完成后(把program files/3721目录和windows/download internet files/cns*.*清除掉)之后,重新启动系统,进入2000或xp。
  再度运行spybot search & destroy。这次将可以把3721的残枝全部干掉了。然后选免疫。但是,这个免疫似乎是可以被3721改程序避开的。我们再从ie上着手。
  进入ie选项-安全-限制站点,把*.3721.com列入限制站点。
  进入myie选项,打开网页内容过滤,在过滤内容中加上
  *3721*.*
  cnsminh.cab*
  *cmail.cab*
  然后,以后坚持只用myie2上网。上到华军等包含了3721下载内容的站点时,只会听到“波”的一声响,那个连接已经被过滤掉了。那个窗口再不会冒出来烦我们了。
  如果上网比较单调,一般不会用到什么插件的话,可以使用最极端的办法,在网页内容过滤里加上*.cab,那样的话,谁家的插件也烦不了你了。
 楼主| 发表于 2005-8-22 03:24:05 | 显示全部楼层
回复[22]:3721杀除方法详解
近日接到内网用户来报,在上到某些站点的时候,会被提示安装一个叫3721中文实名的插件,部分用户在不知情的情况下误点“安装”选项,导致该程序驻留于硬盘上难以杀除。天缘虽是网络管理员,但是对Windows*作系统的确使用得不多,从来也没有用过这个名为3721的插件,但看到用户们焦急地神情,于是答应尽力而为。经过几番努力,终于将其斩于马下。
以下是杀除该程序得经历及解决方案。

天缘使用一台windowsxp机器,访问用户提供的站点,下载并执行了该插件。该插件为中文,自动安装后重新启动机器后生效,并自带卸载功能。通过安装/卸载前后的对比观察,其驻留性、自身保护性及对系统性能的大量损耗,让天缘确定了该插件确是病毒无疑!

发作现象:
自动将浏览器的“搜索”功能重定向到一个叫www.3721.com的网站,该站点为中文站,且无法修改;
强行在用户ie上添加“情景聊天”、“上网加速”等几个图标;
不断刷新注册表相关键值,以达到成功驻留和大量消耗用户主机资源的目的;
每次启机加载,并自带进程保护功能,在正常地windows启动下难以杀除;
5. 带自动升级功能,每次用户上网使用ie时,该程序会后台执行升级;

自身特点:
自带卸载功能;为达到隐藏自身目的,麻痹下载插件用户的目的,提供了卸载程序。但根据天缘的使用情况发现,在卸载后,该程序依然驻留,启动时仍然加载,依然监视、改写注册表;
采用网络升级方式;为了防止用户以及杀毒软件的杀除,采取定期网上升级的方式,这点与近期的其他Windows主流病毒类似,但值得一提的是该程序建有公开的升级站点www.3721.com,且站点风格酷似门户、服务类站点,具有极大的欺骗性;
以驱动模式加载;该特性可说是近段时期以来程序编写的一次技术飞跃,采用驱动模式加载配合挂接hook的方式,在windows下极难查杀(详细技术讨论见后);
提供在浏览器地址栏中输入中文后转到其站点进行关键字查询的搜索服务。前段时间的冲击波克星病毒也曾在感染用户机器后自动连接用户的机器到update.Microsoft.com下载补丁,看来新的病毒越来越多地喜欢提供一些另类功能了;
被动方式传播:利用一些站点来进行传播,而不是主动感染其他机器,这点与当前热门的“美女图片”病毒的方式相近。从主动转向被动,可说是今年一些病毒的新特点;
---xysr2004

回复[23]:详细分析:
当用户访问站点的时候,弹出一个控件下载窗口提示用户下载安装,表面上称自己是提供中文实名服务,引诱用户安装;
在安装过程中多处修改用户文件及注册表;
添加文件:

在Documents and Settings\All Users\「开始」菜单\程序\网络实名\ 目录下添加
了解网络实名详细信息.url 86 字节
清理上网记录.url 100 字节
上网助手.url 99 字节
卸载网络实名.lnk 1,373 字节
修复浏览器.url 103 字节

在WINDOWS\Downloaded Program Files\ 下添加
assis.ico 5,734 字节
cns02.dat 1,652 字节
CnsHook.dll 56,320 字节
CnsMin.cab 116,520 字节
CnsMin.dll 179,712 字节
CnsMin.inf 378 字节
sms.ico“ 6,526 字节
yahoomsg.ico 5,734 字节

在WINDOWS\System32\Drivers\ 目录下添加
CnsminKP.sys

添加注册表键值:

增加HKEY_LOCAL_MACHINE\SOFTWARE\3721 主键,下设多子键及属性值;
在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 主键下增加
{B83FC273-3522-4CC6-92EC-75CC86678DA4}
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
两个子键
3.在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\主键下增加
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
CnsMinHK.CnsHook.1
四个子键
4. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\主键下增加
{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}子键
5. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\主键下增加
{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}
{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\主键下增加
!CNS子键
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\ 主键下增加
{00000000-0000-0001-0001-596BAEDD1289}
{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}
{5D73EE86-05F1-49ed-B850-E423120EC338}
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}
{FD00D911-7529-4084-9946-A29F1BDF4FE5} 五个子键
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\主键下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四个子键
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\主键下增加
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}子键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下增加
CnsMin子键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下增加
EK_Entry 子键 (提示,这个键将在下次启动机器的时候生效,产生最令人头疼的部分,后文会叙述)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\下增加
CnsMin 子键
HKEY_CURRENT_USER\Software\下增加
3721子键
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset
在重新启动计算机后,上面提到的RunOnce下的EK_Entry生效,在注册表中多处生成最为邪恶的CnsMinKP键值,同时在系统盘的windows/system32/drivers目录下生成CnsMinKP.sys文件,噩梦由此开始。
由于win2k/xp在启动的时候(包括安全模式)默认会自动运行windows/system32/drivers下面的所有驱动程序,于是CnsMinKP.sys被加载,而这个驱动的作用之一,就是保证windows/ Downloaded Program Files目录下的Cnshook.dll和CnsMin.dll以及其自身不被删除;Cnshook.dll的作用则是提供中文实名功能,CnsMin.dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,因此造成系统性能下降,在天缘测试的那台机器上,使得性能大概下降了20%左右。而且由于hook强行挂接的原因,当用户使用断点调试程序的时候将会导致频繁出错,这一点与早期版本的cih导致winzip*作和无法关机类似(关于详细的技术细节,可参看题目为《[转载]3721驻留机制简单研究》一文,地址为 http://www.nsfocus.net/index.php?act=sec_doc&do=view&doc_id=894 ;原作者Quaful@水木清华)
 楼主| 发表于 2005-8-22 03:37:37 | 显示全部楼层
NoAdware v3.0 汉化版 - GMZ信息技术资源下载
软件类别: 工具软件 / 杀毒安全
软件语言: 简体中文
授权方式: 免费版
文件大小: 972K
系统平台: Win9x/NT/2000/XP/2003/  
整理日期: 2005-6-18
软件评价:   
下载次数: 318 次
程序演示: 暂无演示
开 发 商: 官方主页
联 系 人: QQ:56885098

广告位置

软件简介:

    如今网上广告/间谍软件满天飞,广告清理工具倒不少,但能力却很有限。NoAdware 是一个专业的广告/间谍软件清除工具,也能够屏蔽400多中 ActiveX 插件程序,防止主页、收藏夹被篡改。
本地下载:山东网通
http://down.gmz.cn/down.php?id=6889&no=1
发表于 2005-8-22 09:17:34 | 显示全部楼层
3721 确实比较讨厌!
您需要登录后才可以回帖 登录 | 申请新用户

本版积分规则

小黑屋|手机版|Archiver|守望轩 ( 湘ICP备17013730号-2 )|网站地图

GMT+8, 2018-10-18 07:46 , Processed in 0.035161 second(s), 17 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表