【原创】彻底删除3721的方法

时间:2005/8/25 11:30:26      阅读:2023          

        3721实在是十大流氓软件中的流氓头头,本来对于3721的兴趣就不是很大,但最近我的机器在上网时一不小心就给装上了3721,在网

上找到了“十大流氓软件完全卸载方案”,按照方法卸载,表面上看到已经卸载完成了,用了一些普通进程查询软件已查不出有什么问题,习

惯性的使用IceSword检查了一下,竟然还有隐藏的进程,对于3721这种流氓软件真的到了无法容忍的地步了,只好把完全删除3721的方法写出

来,让大家都知道3721是如何流氓的。
        在瑞星的网中看过3721的“全面剖析3721及上网助手”这篇文章,地址为:http://forum.ikaka.com/topic.asp?board=36&artid=6651220
        确实心里有同感,下载了瑞星的卡1.0.0.16版本进行对3721清除,呵呵,想不到还有一个文件CnsHOOK.dll怎么也无法清楚,显示出是

北京三七二一公司的,瑞星不是把3721做为流氓软件处理了吗?怎么会清除不了呢?试了多次,结果还是对卡卡助手有一点失望,还希望卡卡

助手下一个版本能够底清除3721。
        没有办法了,只能使用手工清除了(本人有点懒,什么都想用现成的,不想自己动手,除非不得已),检查了一下系统,发现了3721

的一些特点,以下列出3721在注册表、系统的文件和所在目录:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CnsMinKP]
[HKEY_LOCAL_MACHINE\SOFTWARE\3721]
[HKEY_CURRENT_USER\Software\3721]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]中也有一个,不要删除Browser

Helper Objects呵,应该删除它下面的子项

目录:
C:\Program Files\3721

文件:
C:\WINDOWS\system32\drivers\CnsMinKP.sys
C:\WINDOWS\Downloaded Program Files\CnsHook.dll
C:\WINDOWS\Downloaded Program Files\目录下的Cns开头的都是3721的文件

3721网络实名插件是使用Rundll32.exe调用连接库的,系统无法终止Rundll32.exe进程(如果你在进程中看到有Rundll32.exe,很有可能你的

系统中已经安装上了3721了,嘿嘿)

知道了这些,现在我们来开始清除3721,如果用系统自带的工具很难查出有隐藏的进程,我用的是IceSword(下载地址:http://web3.cn//upload/down/soft/IceSword110.rar)你也可以到网上去找一下,用来清除黑客软件非常不错,IceSword内部

功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而

易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门

躲无所躲。3721就是类似系统级的后门,打开IceSword在进程里你可以看到Rundll32.exe进程,点击Rundll32.exe右键--模块信息,可以看到

Rundll32.exe进程所关联的文件,其中CnsHook.dll就是关联到Rundll32.exe进程的,你可以单独把CnsHook.dll卸除,现在先不用管它,先把

关键的清除,在IceSword在菜单中点SSDT,可以在右边显示出系统服务的所有模块,红色的就是被修改过的,在里面可以找到一个红色的

CnsMinKP.sys文件,对应的目录是C:\WINDOWS\system32\drivers\CnsMinKP.sys,现在如果删除是不起作用的,删除后自动还原,注册表中为

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CnsMinKP],如果不用软件打注册表是无法删除的,现在我们用IceSword中的选项找到

该项删除,重新启动计算机。
        现在你可以把CnsMinKP.sys删除了,接下来该清除C:\WINDOWS\Downloaded Program Files\下的Cns开头的文件了,按前面的步骤打开

IceSword在进程里你可以看到Rundll32.exe进程,点击Rundll32.exe右键--模块信息,可以看到Rundll32.exe进程所关联的文件,其中

CnsHook.dll就是关联到Rundll32.exe进程的,把CnsHook.dll卸除就可以删除C:\WINDOWS\Downloaded Program Files\下的Cns开头的文件了(

删除时必须在CMD模式下,否则是看不到有文件的),如果发现无法删除文件,证明文件正在使用,还有其它进程关联有这个文件,慢慢查找进

程可以找到再进行卸除。这时还没完,嘿嘿,还有就是在注册表中查找CnsHook.dll,把CnsHook.dll的项删除,这时重新启动计算机再检查一

次看看有没有漏掉的,重复上面的步骤即可。

        以上的东西为个人的一些心得,如果还有什么地方没讲到的大家可以进行补充,这篇文章希望对大家有点用处。

(注:本人用的是Win2003系统,XP的用户基本是一样的,2000的系统的目录更改成Winnt就好了)
评论
  • Re:【原创】彻底删除3721的方法  (2006/8/5 9:41:23) by 飘萍 
    用恶意软件清理助手也不错,www.tommsoft.com可以下载,可以清除很多垃圾软件。
  • Re:【原创】彻底删除3721的方法  (2009/3/18 9:49:17) by ylp1588 
    本人最讨厌这类软件,凡是安装某个软件时,提示安装另外一个不需要的东东,这类软件一律不看.
标 题:
 
姓 名:
 
主 页:

验证码:

评论:
 

Because of the cache,you may see your comments several minutes later.