终于把3721删除了

bookish

今天早上上网，中了3721病毒的招。我以前办公室的计算机也染上过该病毒，嫌麻烦，删除不了就让它去，反正也一直没什么大的问题，现在它居然入侵到我家里的计算机里来了，真是是可忍孰不可忍。于是用google寻找对策，输入检索词“3721”，结果令人啼笑皆非。再加上“删除”字样，终于得到了有用的信息。

雷音山人以前有一个帖子，http://www.readfree.net/bbs/read.php?tid=33，其方法至少对于我的XP是无效的。我查到的一个方法来源是：http://vod.sjtu.edu.cn/help/Article_Show.asp?ArticleID=475，作者天缘。

参照该方法，我把这一病毒给删除了。现介绍如下：

3721病毒症状：
   自动将浏览器的“搜索”功能重定向到一个叫www.3721.com的网站，该站点为中文站，且无法修改；　
   不断刷新注册表相关键值，以达到成功驻留和大量消耗用户主机资源的目的；
   每次启机加载，并自带进程保护功能，在正常windows启动下难以杀除；　　
   带自动升级功能，每次用户上网使用ie时，该病毒会后台执行升级；
   自带的卸载功能其实是自动升级功能；
   以驱动模式加载；该特性可说是近段时期以来病毒编写的一次技术飞跃，采用驱动模式加载配合挂接hook的方式，在windows下极难查杀。其传播特点是采用被动方式，利用一些站点来进行传播，而不是主动感染其他机器。从主动转向被动，是当前一些病毒的新特点，杀毒软件对其没有防范。

   计算机一旦染上3721病毒后，在系统盘的windows/system32/drivers目录下会生成CnsMinKP.sys文件，噩梦由此开始。　　

   由于win2k/xp在启动的时候（包括安全模式）默认会自动运行windows/system32/drivers下面的所有驱动程序，于是CnsMinKP.sys被加载，而这个驱动的作用之一，就是保证Cnshook.dll和CnsMin.dll以及其自身不被删除；Cnshook.dll的作用则是提供中文实名功能，CnsMin.dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高，用了一个定时器函数反复安装钩子，因此造成系统性能下降20%左右。而且由于hook强行挂接的原因，当用户使用断点调试程序的时候将会导致频繁出错。

   该病毒最为显著的特点是：windows系统启机（包括安全模式下）便会加载windows/system32/drivers下的CnsMinKP.sys，该驱动程序过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时，直接返回一个TRUE，使Windows认为删除已经成功，但文件和注册表实际上还是在那里。3721病毒可以完美地加载、驻留其他进程，只消耗主机资源，监测注册表及关键文件，并不导致系统出错，就是染上了也可以长久相安无事。

   天缘在他的文章中介绍了他所尝试的一些方法，开始都不成功，最后使用了一个极妙的方法。我就只讲这个方法了。

   3721病毒使用Rundll32.exe调用连接库，因此系统无法终止Rundll32.exe进程，必须重新启动计算机，按F8进入安全模式。
   复制windows\\system32中的文件夹drivers为drivers1，将drivers1中的CnsMinKP.sys删除。因为在drivers1中的CnsMinKP.sys已经避开了正在运行的CnsMinKP.sys的监视，所以可以成功删除。
   重新启动机器，到安全模式下，打开DOS命令窗口，键入如下命令：
   cd \\windows\\system32
   ren drivers drivers2　　
   ren drivers1 drivers　　
   之后重新启动机器，为安全起见，还是进入安全模式，然后把drivers2目录删除了，并开始清理注册表。
   运行C:\\WINDOWS\\regedit.exe
   点一下“我的电脑”，点“编辑”-“查找”，填入“3721”，查到就删除。有时，你并不能看到有3721字样，这时需点一下“编辑”-“修改”，看其数值是否有“3721”字样。确信是3721病毒的内容，就把整条项目删除。有的项目是其他程序共用的，那就只删除3721病毒的数据。做这一项工作要细致些，以免删除了有用的内容。
   用同样的方法，查“CnsMin”，然后再查找“Cns”。删除含“Cns”项时更要注意不要删除了有用的内容。
   做这项工作时你会看到，3721病毒居然在你的计算机里安插了那么多东西。

而且我还有一项：HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\LEGACY_CNSMINKP不能删除！！！不知哪位大侠有办法？

   另外，据介绍应该还有一项：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\EK_Entry，但我没有找到。
   现在开始删除3721病毒的文件，用搜索功能寻找“3721”，注意要点“高级选项”-“更多高级选项”，在其中的“搜索系统文件夹”和“搜索隐藏的文件和文件夹”上打钩，将3721文件删除，然后寻找“Cns”，用同样方法，但要注意，不要把有用的文件删除了。

   完成后，重新启动机器，再检查注册表和文件夹，确信已经将“3721”和“Cns”彻底删除了。
   最后，编辑Windows\\SYSTEM32\\Drivers\\etc\\hosts文件，添加如下内容：

*************************************
127.0.0.1     localhost
127.0.0.1     cnsmin.3721.com    #3721网络实名
127.0.0.1     cnsmin.3721.net    #3721网络实名
127.0.0.1     download.3721.com   #3721网络实名
127.0.0.1     download.3721.net   #3721网络实名
127.0.0.1     3721.com         #3721网络实名
127.0.0.1     3721.net         #3721网络实名
127.0.0.1     www.3721.com      #3721网络实名
127.0.0.1     www.3721.net      #3721网络实名
127.0.0.1     sms.3721.com      #3721网络实名
127.0.0.1     rd.3721.com       #3721网络实名
127.0.0.1     assistant.3721.com  #3721网络实名
*************************************

flyfox

老兄，不知道有免疫工具吗？

融融

3721以前用,现在不用了.
装一些软件要小心,如果不想装3721的话,这些软件老是附加3721.

bookish

回飞狐兄，我装软件从来就是只有感到必须装时才装，一般不去尝试不了解的咚咚。这也是矛盾，不玩怎么知道呢，也就只好看大伙玩软件的心得，看得心痒了，或许才会去试试。嘿嘿，不好意思。到现在为止，居然连超星下载助手都没玩过。

zhuce2003

下面是引用bookish于2005-03-13 14:48发表的:
嘿嘿，不好意思。到现在为止，居然连超星下载助手都没玩过。

该玩玩，我还从来没有用助手去下载过一本自己需要的书过，都是玩的时候用一下，呵呵，好多软件在我这里也只是玩玩不拿来做实际用途的。

融融

下面是引用bookish于2005-03-13 14:48发表的:
我装软件从来就是只有感到必须装时才装，一般不去尝试不了解的咚咚。

我比较喜欢尝试不了解的东东，发现有太多好软件没折腾过，
。

bookish

删除3721以后，发现上网助手没了，才领悟，中3721的招是因为前些时候可能是在安装pdf解密软件时选了允许安装上网助手，没注意到这个上网助手是731部队的。

aoc2

下面是引用flyfox于2005-03-13 13:05发表的:
老兄，不知道有免疫工具吗？

推荐一个巨好的免疫工具，可屏蔽几百种插件。

融融

下面是引用aoc2于2005-03-14 08:29发表的:


推荐一个巨好的免疫工具，可屏蔽几百种插件。

我收下了,谢谢!

可以用3721卸载工具，是绿色软件80.2kb。网上有下的。

3721很烦  不过你说的方法也比较麻烦  ：）