推 yanjune:叩首^^ 謝謝你阿 我去處理看看~* 140.122.202.202 05/16
> -------------------------------------------------------------------------- <
作者: TureCooler () 看板: AntiVirus
標題: 網路上轉來的 3721 網絡實名 移除方法
時間: Tue May 18 20:08:32 2004
現在3721有加入移除功能 可以先移除再重開機看看 沒辦法全移就看下面的方法
下面將給大家移除這個組件的詳細過程。
------------------------------------------------------------------------------
(1)由於這個3721網絡實名組件是使用Rundll32.exe調用連接庫的,系統並無法終止
Rundll32.exe進行,所以我們必須重新啟動電腦,按 F8 進入安全模式。
(2)之後,按下 開始 ->執行 輸入regedit 打開登錄編輯器,進到下面的登錄鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除名稱為 CnsMin
(系統為2000/NT)
其鍵資料為 Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32
(系統為95/98/ME/XP)
資料為 Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
(3)接著到下面的登錄鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\
刪除整個子鍵:!CNS
這個目錄在 網際網路選項==>進階 中加入了3721網絡實名的選項。
(4)接著到下面的登錄鍵
HKEY_LOCAL_MACHINE\SOFTWARE\ 與 HKEY_CURRENT_USER\Software\
刪除整個子鍵:3721
註:如果您安裝了3721的其它軟件,如 極品飛貓 等,則應刪除
整個子鍵:HKEY_LOCAL_MACHINE \SOFTWARE\3721\CnsMin
以及 HKEY_CURRENT_USER\Software\3721\CnsMin
(5)到下面登錄鍵
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
刪除名稱為 CNSAutoUpdate CNSEnable CNSHint CNSList CNSMenu
CNSReset
的值
(6)接著到電腦中搜尋名稱為3721的資料夾(應該是在C:\Program Files)
如果可以在C:\WINDOWS\Downloaded Program Files
(2000/NT系統是C:\WINNT\Downloaded Program Files)中找到
CnsHook.dll CnsMin.dll CnsMinIO.dll CnsMinEx.dll cnsio.dll
也刪除掉吧 然後重開電腦就可以脫離3721的魔掌(算魔掌吧XD)
-----------------------------------------------------------------------------
以上是轉來的文章 我加上了一些修改 當初寫3721的人
寫的程式碼算很爛(大家對它的批評是這樣) 後來有加了移除能力(最初是沒有的)
當初寫3721的目的 就像它上面說的 是要方便搜索資料
不過 就是會常發生問題....(像explore發生錯誤 拖累網路速度等)
現在的3721(我到3721的主網頁去) 它會問你是否要裝它的組件
會跑出一個安全性警告(我怕有的人連看都沒看就裝了= =|||)
至於你在其它網站所裝的 有可能是舊版的3721
新版的移除能力算蠻完整的(不過還有些不能移除= =||| 那些還不會影響系統)
當然 這已經被當成廣告病毒 可以移就移吧 不過你也可以留著用XD
> -------------------------------------------------------------------------- <
作者: kenle (絕處焉能逢生....) 看板: AntiVirus
標題: Re: 網路上轉來的 3721 網絡實名 移除方法
時間: Wed May 19 14:19:37 2004
※ 引述《TureCooler ()》之銘言:
: 現在3721有加入移除功能 可以先移除再重開機看看 沒辦法全移就看下面的方法
: 下面將給大家移除這個組件的詳細過程。
: ------------------------------------------------------------------------------
: (1)由於這個3721網絡實名組件是使用Rundll32.exe調用連接庫的,系統並無法終止
: Rundll32.exe進行,所以我們必須重新啟動電腦,按 F8 進入安全模式。
我之前也中過,可是進入安全模式還是沒用.....
後來看其他的資料加上自己嘗試之後
發現應該要先把一個處理程序conime.exe的關掉
然後利用command line(在"執行"裡打cmd)進到windows\downloaded internet files\
按dir會發現有很多dll檔
將CNSmin.dll改名後(ex:rename CNSmin.dll shit.dll)....
再開始接下來的步驟(因為在視窗下會看不到檔案)
> -------------------------------------------------------------------------- <
作者: TureCooler () 看板: AntiVirus
標題: Re: 網路上轉來的 3721 網絡實名 移除方法
時間: Sun May 23 15:45:49 2004
※ 引述《mariana (bizarre love triangle)》之銘言:
: ※ 引述《kenle (絕處焉能逢生....)》之銘言:
: : 我之前也中過,可是進入安全模式還是沒用.....
: : 後來看其他的資料加上自己嘗試之後
: : 發現應該要先把一個處理程序conime.exe的關掉
: : 然後利用command line(在"執行"裡打cmd)進到windows\downloaded internet files\
: : 按dir會發現有很多dll檔
: : 將CNSmin.dll改名後(ex:rename CNSmin.dll shit.dll)....
: : 再開始接下來的步驟(因為在視窗下會看不到檔案)
: 對不起 請問處理程序conime.exe在那裡關掉阿???
: 而且我照著上面打 也到不了這個d11檔的地方
: 都刪不掉
: 我快瘋了 誰能救救我阿
: 看到我的IE介面充滿著大陸網頁
: 好難過阿!!!!
嗯...kenle 別忘了不是每個人都會用dos指令的= =|||
執行後輸入cmd(或conime.exe)
輸入cd ..(向上退一層資料夾) 直到只剩下C:\>
然後輸入cd <資料夾名稱>(如 c:\>cd windows 會出現C:\windows>
這樣就進到WINDOWS資料夾了)
進到C:\windows\downloaded internet files> 後
(有的人是C:\windows\downloaded program files> 反正就是指在windows資料夾下
資料夾圖示上有附IE的那個資料夾)
輸入dir 它會列出檔案 找到步驟6的那些檔案
輸入del <檔案名稱.副檔名>(如輸入XD.exe 他會殺掉這一個執行檔 但是你只有輸入XD
的話 那它會說它找不到這個檔案)
當然...一堆大陸網頁 用ad-aware6.0(181版)掃過了嗎
有問題再po
> -------------------------------------------------------------------------- <
作者: TureCooler () 看板: AntiVirus
標題: Re: 網路上轉來的 3721 網絡實名 移除方法
時間: Mon May 24 14:18:06 2004
※ 引述《kenle (絕處焉能逢生....)》之銘言:
: ※ 引述《mariana (bizarre love triangle)》之銘言:
: : 我打到了C:\windows> 後 再輸入dowmloaded program files 和試programs files
: : 確都進不去 所以我就輸入 C:\windows>dir --->這樣對嗎?? 但是沒有找到任何
: : 步驟6的檔案
: 應該這樣做....
: 按開始->執行,接著打cmd,然後照下面做(指令打完都是按Enter)
: C:\Document and Setting\xxx>cd\
: C:\> cd windows <-win2000可能是winnt資料夾,反正就是windows所在的資料夾@@
: C:\windows>cd "downloaded program files" <-可以打 cd down 然後按tap就會跑出來
: C:\windows\down....>dir
: 這時可能會看到CNSxxx.dll等等的檔案,照著步驟6的方式刪掉
: 不過我記得應該要再進入步驟2前就先用rename的方式法CNSmin.dll改名(之前我說的)
: 再去用regedit.exe刪機碼才對,到步驟6再回去刪掉哪些檔案
: : 我也照著你那一篇文章一個一個刪 但是刪完再開 都還是在
: : 有個檔案叫Help.dll的怎麼刪都刪不掉
: 如果刪不掉的話,同樣先試著在準備刪機碼之前,先把這個檔名改名
: 等刪完機碼後,再回頭把他刪掉
: : 以下是我的IE出現的問題
: : http://tw.f1.pg.photos.yahoo.com/ph/bizarre1128/details?.dir=/9549&.dnm=bb4a.jpg
: : http://tw.f1.pg.photos.yahoo.com/ph/bizarre1128/detail?.dir=/9549&.dnm=3509.jpg&.src=ph
: : 我用ad-aware6.0掃過了 就是3721的檔案很多
: : 那請問這會影響電腦裡面的作業系統嗎??
: : 除了有以上的現象......會破壞我的電腦裡面的軟體嗎???
: : 謝謝..
: 好像很多人有問題....改天有時間再來重灌3721測試一下好了:p
話說那東西我就是灌過了才po這篇文章...............
那天我就去找3721的入口網站 然後它說要安裝 就給它裝..
接著我去確認機碼跟檔案位置後 就按卸載....
重開之後 就沒了@@ 現在的移除能力算是不錯了
可以去3721網站下載最新的3721XDXDXD
他也附了自動更新0.0 真神奇呀XD
> -------------------------------------------------------------------------- <
作者: TureCooler (這次也要歐趴呀XD) 看板: AntiVirus
標題: Re: 我也來求助~網路實名:(
時間: Sun Jul 18 15:14:11 2004
昨天只有要你把這個東西用hijackthis刪掉而已= =..
: O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe
: C:\PROGRA~1\3721\helper.dll,Rundll32
請使用hijackthis 把綠色部份的東西都打勾 並按下Fix checked
問你是否要刪除 按yes
> -------------------------------------------------------------------------- <
作者: Berotec (網路線實在是插不緊) 看板: AntiVirus
標題: Re: 我用Ad-ware刪不掉的毒...附上log檔
時間: Fri Nov 5 10:52:25 2004
這樣看來,應該是網路實名搞的鬼
看到CnsMin這個字,實在就讓人頭大,
看來對岸的東西還真是無孔不入
(不過,這好像是點選3721認證才會下載的吧....)
在下提供個網址,您去瞧瞧,裡面有附自動移除程式以及免疫程式
http://www.gamez.com.tw/showthread.php?t=73467
==
至於那些MRU就別在意,那些大多只是些記錄性質的檔案
> -------------------------------------------------------------------------- <
作者: redmei (翹了一整天課>"<) 看板: AntiVirus
標題: Re: [問題] 中3721病毒要怎麼清乾淨啊~~~
時間: Wed Dec 22 02:55:19 2004
※ 引述《micd (風信子)》之銘言:
: 今天掃毒發現4隻病毒在3721這個資料夾.
: 刪除那4個dll檔後..
: 每次開機卻出現如下的警告語:
: 載入C:\PROGRA~1\3721\helper.dll時發生錯誤,找不到指定的模組
: 請問該怎麼解決~
: 拜託....謝謝~~
呵呵 這個真的不錯用優^^~
http://dl.pconline.com.cn/html/1/3/dlid=13133&dltypeid=1&pn=0&.html
3721卸除程式
不過要在安全模式下才可以運作
用卸除程式還不能完全殺掉病毒
不過已經算清的滿乾淨的了
多清幾次就是了
剩下的那些 拿筆把他們的位置抄下來(3721卸除程式會顯示...)
之後再到起開始功能表裡的執行登入regedit
之後到指定位置把病毒一隻隻殺掉就可以了....^^
還滿簡單的^^*
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.130.201.95
※ 引述《yanjune (寶貝碳)》之銘言:
: 貼上這些^^"
: 也不知道對不對
: 拜託大家了~~~~~~~~~
: R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4}
- C:\WINDOWS\DOWNLO~1\CnsHook.dll
: O2 - BHO: 3721
: O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\
CnsHook.dl
: O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
: O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
: O4 - HKLM\..\Run: [cesmain.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\Ces\cmail.dll,Rundll32
: O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
: O4 - HKLM\..\Run: [scvhost] scvhost.exe
: O4 - HKLM\..\Run: [soundcontrl] soundcontrl.exe
: O4 - HKLM\..\Run: [Services] C:\DOCUME~1\YANJUN~1\LOCALS~1\Temp\32423.exe
: O4 - HKLM\..\RunServices: [scvhost] scvhost.exe
: O4 - HKLM\..\RunServices: [soundcontrl] soundcontrl.exe
: O11 - Options group: [!CNS]
痾.....我不知道要說啥......
話說你中的是一個不錯的木馬 它叫3721網絡實名
這是一個假好心的東西呀 一定要移的呀 另外 附加兩個病毒檔.....
解決方法
一開始 請先到開始功能表 找到3721 網絡實名 把它移除掉
找不到就到控制台==>新增/移除程式 應該也會有
移除後請重開機 並且進入安全模式(有網路功能)(一開機按f8)
然後 先到C:\Program flies裡把3721資料夾殺掉
再來 按下 開始==>搜尋 找scvhost與soundcontrl
找到.exe與.pf檔都殺掉
接著搜尋hosts 找到hosts檔後
把除了127.0.0.1 localhost留下以外 下面有127.0.0.1 後面接有的沒的網址那些都殺掉
接著 按下 開始==>執行 輸入regedit
到下面的登錄檔
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run跟
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
找到資料欄中有scvhost.exe與soundcontrl.exe的 就刪除
--------------------------------------------------------------------------
基本上 殺毒步驟到此
不過 3721的東西 基本上是沒殺完全 不過應該不會有所影響
改天再po完整程序(我怕有人會殺錯= =|||)
至於有個save.exe 與 32432.exe 我想那應該也是木馬..
建議下載ad-aware6.0去殺看看
還有 對你的電腦 我不得不提出一些重要的地方....
1.沒有防火牆與防毒軟體.....這是一個很大的漏洞呀..建議你到網路上找免費的使用
防火牆可以選zonealarm 至於防毒軟體 我就不大清楚 不然 只好跟別人借或找破解
2.XP沒有裝sp1......話說沒裝sp1是沒差 不過如果是因為金鑰的問題 可以爬文找破解
3.IE也沒裝sp1...這一樣也沒差 強烈建議一定要用windows update
剩的 有問題再回po
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.121.213.35