彻底清除狗太阳的3721病毒完全手册!

原文地址为：彻底清除狗太阳的3721病毒完全手册!

我们对Google的爱说不清楚为什么，就是那么执著。我们对3721的憎恨似乎也说不清楚为什么，看起来更执著。Google往我们口袋里塞钱了吗？当然没有。3721抢我们钱包里的钱了吗？似乎也没有。那是为什么呢？因为Google任何时候都尊重网友的意志，而3721干的那勾当，是" 人"做出来的吗?!

关于3721这个东西的好坏，我一来不肖于说，二来也避免一家之言，看看Google搜索" 删除 3721"的近14万个结果，就知道了。所以我只在这里说说，怎么在NTFS分区下的Windows xp sp2中彻底的清除无耻之极的3721病毒(谢谢一网友提醒)，当然在2000和2003也都差不多(系统在NTFS分区)。

从9x以后，windows启动盘似乎就远离我们了，当然如果你在2000/xp以及2003里还使用FAT32分区格式，清除3721病毒反而更简单了。我记得制作2000的支持NTFS的启动盘需要4张软盘，由于软盘的质量下降确实太快了，在我完完全全抛弃软盘之前，我再也没有凑齐过 4张 完好的软盘。关于3721病毒的原理，你可以看看这里。其实这些都是算比较old的东西了，CnsMinKp.sys/vxd刚release出来几天就被人研究明白了机理。由于CnsMinKp.sys被实现成了底层的驱动，恶劣到从安全模式启动系统也会加载。这个驱动起来后不干任何的好事，就检查该死的3721病毒是否被破坏，而且这个机制居然把微软的 GiantAntiSpyware搞faint掉了。昨晚我在 dudu的建议下安装了GiantAnitSpyware，并且升级到最高版本。这个软件如果不遇到3721其实还是很不错的了，虽然才beta1。可是造物弄人啊，虽然传说3721和微软还有什么狗屁合作。扫描完毕后，Giant一下就在我的系统查出15个spy类的软件，当然包括3721病毒，并且3721是影响和散布最严重的。于是我就开始清除这些spy ware，其它都很顺利的就清理过去了，可是当Giant清理3721到C:\windows\Downloaded Program Files\目录后，Giant被暗算了。虽然我们没法在系统正常启动时删除CnsMin.dll和CnsHook.dll，但是Giant是可以的，因为它就是专门干这个的呀。不过很不幸，由于Giant不知道有个CnsMinKp的卑鄙服务在非常频繁的监测这个目录，只要文件CnsMin.dll或CnsHook.dll一旦被删除，它就立即重新创建一个。于是Giant说：我删，我删，我删删删；3721说：我贱，我贱，我贱贱贱。它们俩就这么死磕上了，程序Giant进入死循环:(。如下图：

// 这两个dll一旦被删除就马上重建，可见CnsMinKp的扫描是多么的频繁！

昨天发了一篇文章"宇宙里还有没有比3721无耻的软件啊?"求助，再此非常感谢Pumpkin网友的建议，整个清除3721病毒的过程，就是使用Recover Console。这个东西在操作系统的安装盘里，不过默认不安装到系统里，我们直接拿安装盘来运行也是一样的。详细使用方法看上面的连接，这个主题的kb还有中文版的说。

说一下需要删除3721病毒文件的地方，有(默认系统装在C盘)：
    C:\WINDOWS\Downloaded Program Files\
    C:\WINDOWS\ (这个目录里有个Cns*.dat的文件)
    C:\WINDOWS\System32\Drivers\

需要说明一下，C:\Program Files\3721\不能在Recover Console里删除，因为Recover Console进入系统没有访问C:\WINDOWS\以外目录的权限。不过还有一点，Recover Console里的del命令不支持统配符，删除文件必须一个一个得来，一共有二十来个Cns*.*文件。

处理完了Exit重起机器，出一个系统出错：Rundll32.exe不能找到C:\WINDOWS\downlo~1\CnsMin.dll。哈哈，能找到我还不疯掉啊！用Giant在扫描一遍register，没有发现问题，faint。手动查找，发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下还有一个CsnMin注册项——"Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32"。

继续使用CsnMin搜索注册表，还有以下地方需要删除：
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CNSMINKP
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CnsMinKP
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CNSMINKP
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\CnsMinKP
    HKEY_USERS\S-1-5-21-1708537768-1303643608-725345543-500\Software\Microsoft\Internet Explorer\MenuExt\Quick Search (Yisou.com)
    // 不能删除的key需要修改访问权限

通过上面的操作，这个世界终于又清静了。我为什么要说又?!

转载请注明本文地址：彻底清除狗太阳的3721病毒完全手册!

彻底清除狗太阳的3721病毒完全手册!相关推荐

3721病毒杀除方法详解
FROM CHINAUNIX.NET 这篇文章本来是偶的投稿,因故未能发表,近日看到有朋友提到升xp到sp2,必须先删除掉xp的上网助手,因此想起此文,特此发出,欢迎转载,请注明原作者是俺就行咯 == ...
如何干净地清除电脑中的木马病毒
本文只是针对常见的已知病毒的一些通用的基本的清除方法,并不专门讨论针对某种或者某类病毒的清除方法,如果按照这些清除方法仍不能干净清除病毒,请参见相关的文章,或另文提出,谢谢! 一.使用正确的杀毒方法 ...
清除Trojan-Dropper.Win32.Dropkit.a病毒
中午刚吃完饭就接到哥们儿一电话,说是中了清除Trojan-Dropper.Win32.Dropkit.a病毒,卡巴删除不了. 我搜了一下,方法倒是不少,给他这个机盲说了没有一个管用的,只好我通过远程协 ...
五步清除客户电脑中的病毒和间谍软件
五步清除客户电脑中的病毒和间谍软件作者:Erik Eckel 翻译:endurer,2009-07-10第2版标签:感染,病毒,反间谍软件,间谍软件,广告软件 & 恶意软件,网络威胁,安全 ...
扩展名.2k19sys勒索病毒如何清除，后缀.2k19sys勒索病毒分析以及如何恢复数据
什么是.2k19sys勒索病毒?什么是2k19sys勒索病毒?是否可以恢复.2k19sys加密的文件? 后缀.2k19sys是最新勒索病毒.它通过将.2k19sys扩展名附加到文件来加密文件,使其无法 ...
android有病毒怎么清除,安卓手机幽灵推病毒怎么彻底清除？手机幽灵推病毒彻底清除方法...
央视曝光安卓手机病毒"幽灵推"之后,引起了用户极大的恐慌.小伙伴们也不用太担心,下载时选择正规网站防患于未然,那有人就要问,不小心中毒了之后该怎么办呢?下面就让百事网小编给大家讲解 ...
手机android player病毒怎么解决,不要担心手机中毒！教您一些有关如何彻底清除Android手机上的病毒的提示...
如果手机中毒,您知道如何彻底杀死病毒吗?今天,我将与您分享一些彻底杀死病毒并有效防止Android手机上的病毒的方法. 1. 如何彻底杀死Android手机上的病毒方法1: 使用内置的手机管理器某 ...
Win10/Win11下清除windows defender安全中心病毒和威胁防护历史记录
一.手动清理方式资源管理器打开下面路径: 1.定位到C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results 把子文件夹Quic ...
linux挖矿的清理工具,Linux挖矿病毒的清除与分析
文章目录起因清除过程确定病因开始清除复发定时任务 update.sh分析修复样本分析:networkservice文件的分析分析准备功能分析 sysguard 样本下载 *本文中涉 ...
详解六大QQ病毒特征及清除方法
作为国内第一的即时通讯工具,QQ现在已经成为越来越多病毒进攻的目标,下面笔者就讲解QQ病毒中较出名的六种病毒的清除方法,希望大家能够喜欢! 内容导航 "QQ尾巴"病毒 QQ&quo ...

彻底清除狗太阳的3721病毒完全手册!

彻底清除狗太阳的3721病毒完全手册!相关推荐

最新文章

热门文章