主题:【原创】与狼共舞,3721 病毒实战 -- landkid
kid 这里是不会中 3721 的啦,我对这种牛皮糖一般死缠烂打咬住人绝不松口的
恶狗行径的玩艺深恶痛绝。所以装机第一件事就是屏蔽 3721.com 和 3721.net 。
第二件事就是安装屏蔽 3721 /CNNIC 插件的补丁。而且用 GreenBrowser ,
禁止掉任何 ActiveX 的尝试安装。
但周围 XD 还是有中招的。今天晚上实战了一把,总结些经验给大家。不见的
一定有帮助,但至少可以给大家看看 3721 有多恶心。
隔壁人的电脑 , Sempron 2000 Ghz。(大约应该是 2600+ 以上了)
内存 512MB, 200MHz 外频。(超强了吧。)我帮他安装 ATI 9200 的显示卡驱动,
装的过程中重新启动,怪哉,进入 Windows 不出桌面,要大约两到三分钟才显示
桌面图标。---- 仔细一看果然有 3721。(先说个结果大家知道,删除3721 以后
进入 Windows 极其流畅,毫无阻滞,根本没有任何停顿。)我 !#@$^#&^$&%@$ 的 3721!
于是 kid 打响了一场和 3721 的决斗:
1。最重要的:下载下来一个 3721 卸载程序之后,一定要先断开网络,有线无线都要断开!!
这是 kid 总结的所有步骤最要害的一步。
2。先用 卸载程序杀一下,它肯定说卸载完毕,请重新启动。---- 启动。
虽然说实际上现在的卸载程序不一定能对付 3721 , 但至少弄干净了一点。
3。这时候直接重新启动 Windows 是没有用处的,不管是进入普通模式还是安全模式,
这是 3721 的第一个回马枪。即使被删除,即使进入安全模式,它的 CNSWIN.DLL 居然还是不可删除。
Program Files/3721 的目录还在,Windows/Download Program Files 还在,其中有 3721 的残余文件 dll。
而且即使进入安全模式,3721 目录下的残余文件还是在背后启动了,以至于这两个目录不可删除。
这一步正确的做法是用 98 /ME 的启动光盘进入 DOS ,手动把这两个目录删除。
如果 XD 的 C: 是 NT 格式的,只能找一张 支持 NTFS 识别的启动盘了。这位兄弟
的 C:D:E: 全都是 FAT32 ,所以 kid 省了点事。
进入 DOS ,把 C: 下 Program Files/3721 和 Windows/Download Program Files
文件全部删干净。一个不留,顺便把目录删掉。
4。再次启动 Windows ,Windows 试图操作 3721 目录?茫?找不到,报错,
这一步显示出前一步断开网络的必要性了,即使 用卸载软件卸载了, 3721 都不干不净
的在注册表里留下了第二个回马枪,准备一开机就上网重新安装自己的。这时候不要搭理,
再次运行 3721 卸载程序,把注册表里的垃圾清空,下次 Windows 就不报错了。
这是全部的步骤,至此 3721 被清除干净。
再次进入 Windows, Sempron 2000 的
威力无边,极其流畅的进入 Windows , 原来那种停滞 两到三分钟的滞涩完全
没有了。(kid 猜想 3721 要花这两分钟从无线网上联系自己的大本营,保持自己的
版本最新吧。我们这里离它的老窝是远了一点,好任劳任怨好辛苦啊。。。)
总结一下:
下载了 3721 杀除软件之后,一定要断网,否则所有的都白玩!!
另外有几个难点:
3721 卸载程序。--- 它们在和 3721 的斗争中都已经有些老了,不能对付最新的
3721 ,所以必须要自己动手,进入 DOS,完全指望它是不行了。
这次 kid 单用它来和 3721 交手,是 完败。重新启动以后,3721 进程依然启动,
3721 目录依然不可删除。虽然附属文件被删除,但核心文件仍在。所以单靠它是不行了。
----- 不完全指望它的话,随便找一个就可以了。
其次,很多 XD 的 C: 是NTFS 的。进入 DOS 杀除时,无论如何需要一张能识别 NTFS 的启动盘。
就连 kid 手里的启动光盘都不能支持。
它是标准的 WinME 盘外加 GHOST 2003 版,并不含 NTFS 支持。
而如果 C: NTFS 化,则一张支持 NTFS 的启动光盘必不可少了。
kid 正在考虑,是否自己制作一张。但要看 XD 们是否需要了。
最后一点提示,3721 杀除极难,最好是预防。
第一步,IE 中把 3721.com 和 3721.net 设为不可信赖站点。
第二步,安装 3721 免疫补丁。
第三步,最重要的一步,安装国内软件的时候千万留心。包括 FLASHGET , BitComet , eMule
还有暴风影音 等标准国产软件都附带了 3721 , 用户可选不安装。但如果不小心的话,
就可能一口气全都装上。另外,汉化软件包的大本营 汉化新世纪和 3721 结成了
友好联盟,所以大量的汉化新世纪的汉化包都包含了 3721。
直接了说罢,涉及到国内的软件或者国内的汉化包的安装,都要小心不要顺便引狼入室,
引入 3721 这个至今最厉害最死皮赖脸的大木马病毒!!
本帖一共被 3 帖 引用 (帖内工具实现)
好像都没有Reboot。(对不起,忘了我做了些什么)
也许那不是最新的3721?Anyway,没给我什么麻烦。
以前也是试过很多小工具来屏蔽这bullshit
甚至都改过hosts文件
现在装了微软的antispyware,基本上已经绝迹了
对微软没好感的当然也可以试试别的反间谍软件,应该都有类似的功能,包括对恶意网站修改浏览器后的恢复。
---------
其实这也是个见仁见智的问题,国内还是有很多人觉得这个东西很方便,不用记域名,或者上网时间不怎么长的人需要这么个“助手”来帮助他们。
还可以卸载,免疫。
UPIEA 2005 (IE插件屏蔽)(中文版)更新为 1.32d 版,2005年4月1日发布
http://www.cchere.com/article/360948
http://www.cchere.com/article/350767
再说说我的经历,看看新版的 3721 都有什么高招。
首先 3721 在进程列表里是不显示的。它的核心文件叫做 cnswin.dll,你在进程中是找不到的。所以
无法关闭。它是个驱动,并非系统进程。
----------------------------------
单纯删除注册表中的启动项阻止它?呵呵,这个对 3721 太小儿科了。它早已练就了铜皮铁骨。见下文
----------------------------------
它是以驱动模式加载;该特性可说是近段时期以来病毒编写的一次技术飞跃,采用驱动模式加载
配合挂接hook的方式,在windows下极难查杀。
---------------------------------------------------------------------
当我采用手工的方式删除文件的时候,对system32/drivers目录下的CnsMinKP.sys,
WINDOWSDownloaded Program Files 目录下的Cnshook.dll和CnsMin.dll 都“无法删除”。
因为文件正在使用。这一切都是CnsMinKP.sys这东西搞得鬼。那么,只要能开机不加载
它行不行?我尝试了一下, Windows xp的安全方式下都是要加载system32/drivers下的驱动,
而如果想要取消加载,则需要修改注册表。但由于CnsMinKP.sys 已经被加载,之后修改注册表
相关值无效,即使删除了启动项中的选项,它会自己修正回来。(你知道为啥电脑变慢了吧。
它在背后忙着不断的循环检测注册表中的相关值)下次启动一样还是按照 3721 的路子走。
---------------------------------------------------
我的实际经历是,用卸载软件立刻搜索出 3721 在启动组里的注册表值,各类文件,
包括 RunOnce 的值。 一概删除之,但我立刻重新启动 Windows 的 安全模式,
指望能避开 3721 的启动(我根本没指望普通模式能避的开。)但是仍然不行,
注册表被改回,照老样子仍然启动了 3721 , 3721 这个目录和其中的文件
依然正在使用中,不可删除。
-----------------------------------------------------------
所以可以肯定的是,结合专门删除软件 和 安全模式,一样 无法遏制已经加载了的
CnsMinKP.sys 这个程序的再次加载。单纯的 Windows 路子,目前没有办法可以
遏止 3721 加载的,这是我见到最完美的强行驻留方式。也是我见到编制最完美的病毒。
它已经达到了 Windows 下完美的癞皮方式,以至于几乎毫无办法,只能进入 DOS
才算解决了问题。但试问,周围人谁能没事玩玩 DOS 呢。对于一般人来说,3721 实在是
个至善至美,永生不死的病毒。。。。。
--------------------
对付它的好办法当然是以防为主,要防住它,还是相对容易的多的。
本文主要探讨的是如果已经中招的情况下,如何才能把它踢出去。
---------------------
不过结论是 "真 TNND 的麻烦。。。。"
然后到硬盘system32下删除3721所有相关的文件(直接读取NTFS文件)。然后再启动,我看它还有什么办法?
这样我就可以从容清理注册表以及其他部分了。用FAT/FAT32我觉得牺牲太大,从NT4起我就不用了。
哈哈,
花了整整一个下午,试了n种方法,最后还是网上找到您这篇才搞定的。
能不能告这个公司,或者告他的母公司yahoo也行,有没有懂法律的朋友来说一说。
我很开心。
-----------------
告 3721 是不用指望了,它能这么横,看来国内的后台一定极硬。。。。
我能做的就是用它来作为自己学习病毒和反病毒的入门教材。
希望自己哪天能开发出真正很方便对付它的办法来。
怎么判断一个软件是魔鬼还是天使呢?3721刚推出的时候恐怕没有多少人知道吧。但是一旦安装了该软件,就只好任由其摆布了。
显然在中国告3721是没戏的。前两年百度诉3721也是不了了之了。
而美国好像还没有相关的反spyware的法律。但是,随着spyware的蔓延,相关的立法有可能会出现。这个时候就可以告Yahoo了。