※ 引述《yanjune (寶貝碳)》之銘言： : 貼上這些^^" : 也不知道對不對 : 拜託大家了~~~~~~~~~ : R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll : O2 - BHO: 3721 : O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\ CnsHook.dl : O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe : O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32 : O4 - HKLM\..\Run: [cesmain.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\Ces\cmail.dll,Rundll32 : O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32 : O4 - HKLM\..\Run: [scvhost] scvhost.exe : O4 - HKLM\..\Run: [soundcontrl] soundcontrl.exe : O4 - HKLM\..\Run: [Services] C:\DOCUME~1\YANJUN~1\LOCALS~1\Temp\32423.exe : O4 - HKLM\..\RunServices: [scvhost] scvhost.exe : O4 - HKLM\..\RunServices: [soundcontrl] soundcontrl.exe : O11 - Options group: [!CNS] 痾.....我不知道要說啥...... 話說你中的是一個不錯的木馬 它叫3721網絡實名 這是一個假好心的東西呀 一定要移的呀 另外 附加兩個病毒檔..... 解決方法 一開始 請先到開始功能表 找到3721 網絡實名 把它移除掉 找不到就到控制台==>新增/移除程式 應該也會有 移除後請重開機 並且進入安全模式(有網路功能)(一開機按f8) 然後 先到C:\Program flies裡把3721資料夾殺掉 再來 按下 開始==>搜尋 找scvhost與soundcontrl 找到.exe與.pf檔都殺掉 接著搜尋hosts 找到hosts檔後 把除了127.0.0.1 localhost留下以外 下面有127.0.0.1 後面接有的沒的網址那些都殺掉 接著 按下 開始==>執行 輸入regedit 到下面的登錄檔 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run跟 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 找到資料欄中有scvhost.exe與soundcontrl.exe的 就刪除 -------------------------------------------------------------------------- 基本上 殺毒步驟到此 不過 3721的東西 基本上是沒殺完全 不過應該不會有所影響 改天再po完整程序(我怕有人會殺錯= =|||) 至於有個save.exe 與 32432.exe 我想那應該也是木馬.. 建議下載ad-aware6.0去殺看看 還有 對你的電腦 我不得不提出一些重要的地方.... 1.沒有防火牆與防毒軟體.....這是一個很大的漏洞呀..建議你到網路上找免費的使用 防火牆可以選zonealarm 至於防毒軟體 我就不大清楚 不然 只好跟別人借或找破解 2.XP沒有裝sp1......話說沒裝sp1是沒差 不過如果是因為金鑰的問題 可以爬文找破解 3.IE也沒裝sp1...這一樣也沒差 強烈建議一定要用windows update 剩的 有問題再回po -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.121.213.35 > -------------------------------------------------------------------------- < 作者: TureCooler () 看板: AntiVirus 標題: 網路上轉來的 3721 網絡實名 移除方法 時間: Tue May 18 20:08:32 2004 現在3721有加入移除功能 可以先移除再重開機看看 沒辦法全移就看下面的方法 下面將給大家移除這個組件的詳細過程。 ------------------------------------------------------------------------------ (1)由於這個3721網絡實名組件是使用Rundll32.exe調用連接庫的，系統並無法終止 Rundll32.exe進行，所以我們必須重新啟動電腦，按 F8 進入安全模式。 (2)之後，按下 開始 ->執行 輸入regedit 打開登錄編輯器，進到下面的登錄鍵 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除名稱為 CnsMin (系統為2000/NT) 其鍵資料為 Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32 (系統為95/98/ME/XP) 資料為 Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32 (3)接著到下面的登錄鍵 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\ 刪除整個子鍵：!CNS 這個目錄在 網際網路選項==>進階 中加入了3721網絡實名的選項。 (4)接著到下面的登錄鍵 HKEY_LOCAL_MACHINE\SOFTWARE\ 與 HKEY_CURRENT_USER\Software\ 刪除整個子鍵：3721 註：如果您安裝了3721的其它軟件，如 極品飛貓 等，則應刪除 整個子鍵：HKEY_LOCAL_MACHINE \SOFTWARE\3721\CnsMin 以及　HKEY_CURRENT_USER\Software\3721\CnsMin (5)到下面登錄鍵 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\ 刪除名稱為 CNSAutoUpdate CNSEnable CNSHint CNSList CNSMenu CNSReset 的值 (6)接著到電腦中搜尋名稱為3721的資料夾(應該是在C:\Program Files) 如果可以在C:\WINDOWS\Downloaded Program Files (2000/NT系統是C:\WINNT\Downloaded Program Files)中找到 CnsHook.dll CnsMin.dll CnsMinIO.dll CnsMinEx.dll cnsio.dll 也刪除掉吧 然後重開電腦就可以脫離3721的魔掌(算魔掌吧XD) ----------------------------------------------------------------------------- 以上是轉來的文章 我加上了一些修改 當初寫3721的人 寫的程式碼算很爛(大家對它的批評是這樣) 後來有加了移除能力(最初是沒有的) 當初寫3721的目的 就像它上面說的 是要方便搜索資料 不過 就是會常發生問題....(像explore發生錯誤 拖累網路速度等) 現在的3721(我到3721的主網頁去) 它會問你是否要裝它的組件 會跑出一個安全性警告(我怕有的人連看都沒看就裝了= =|||) 至於你在其它網站所裝的 有可能是舊版的3721 新版的移除能力算蠻完整的(不過還有些不能移除= =||| 那些還不會影響系統) 當然 這已經被當成廣告病毒 可以移就移吧 不過你也可以留著用XD > -------------------------------------------------------------------------- < 作者: kenle (絕處焉能逢生....) 看板: AntiVirus 標題: Re: 網路上轉來的 3721 網絡實名 移除方法 時間: Wed May 19 14:19:37 2004 ※ 引述《TureCooler ()》之銘言： : 現在3721有加入移除功能 可以先移除再重開機看看 沒辦法全移就看下面的方法 : 下面將給大家移除這個組件的詳細過程。 : ------------------------------------------------------------------------------ : (1)由於這個3721網絡實名組件是使用Rundll32.exe調用連接庫的，系統並無法終止 : Rundll32.exe進行，所以我們必須重新啟動電腦，按 F8 進入安全模式。 我之前也中過，可是進入安全模式還是沒用..... 後來看其他的資料加上自己嘗試之後 發現應該要先把一個處理程序conime.exe的關掉 然後利用command line(在"執行"裡打cmd)進到windows\downloaded internet files\ 按dir會發現有很多dll檔 將CNSmin.dll改名後(ex:rename CNSmin.dll shit.dll).... 再開始接下來的步驟(因為在視窗下會看不到檔案) > -------------------------------------------------------------------------- < 作者: TureCooler () 看板: AntiVirus 標題: Re: 網路上轉來的 3721 網絡實名 移除方法 時間: Sun May 23 15:45:49 2004 ※ 引述《mariana (bizarre love triangle)》之銘言： : ※ 引述《kenle (絕處焉能逢生....)》之銘言： : : 我之前也中過，可是進入安全模式還是沒用..... : : 後來看其他的資料加上自己嘗試之後 : : 發現應該要先把一個處理程序conime.exe的關掉 : : 然後利用command line(在"執行"裡打cmd)進到windows\downloaded internet files\ : : 按dir會發現有很多dll檔 : : 將CNSmin.dll改名後(ex:rename CNSmin.dll shit.dll).... : : 再開始接下來的步驟(因為在視窗下會看不到檔案) : 對不起 請問處理程序conime.exe在那裡關掉阿??? : 而且我照著上面打 也到不了這個d11檔的地方 : 都刪不掉 : 我快瘋了 誰能救救我阿 : 看到我的IE介面充滿著大陸網頁 : 好難過阿!!!! 嗯...kenle 別忘了不是每個人都會用dos指令的= =||| 執行後輸入cmd(或conime.exe) 輸入cd ..(向上退一層資料夾) 直到只剩下C:\> 然後輸入cd <資料夾名稱>(如 c:\>cd windows 會出現C:\windows> 這樣就進到WINDOWS資料夾了) 進到C:\windows\downloaded internet files> 後 (有的人是C:\windows\downloaded program files> 反正就是指在windows資料夾下 資料夾圖示上有附IE的那個資料夾) 輸入dir 它會列出檔案 找到步驟6的那些檔案 輸入del <檔案名稱.副檔名>(如輸入XD.exe 他會殺掉這一個執行檔 但是你只有輸入XD 的話 那它會說它找不到這個檔案) 當然...一堆大陸網頁 用ad-aware6.0(181版)掃過了嗎 有問題再po > -------------------------------------------------------------------------- < 作者: TureCooler () 看板: AntiVirus 標題: Re: 網路上轉來的 3721 網絡實名 移除方法 時間: Mon May 24 14:18:06 2004 ※ 引述《kenle (絕處焉能逢生....)》之銘言： : ※ 引述《mariana (bizarre love triangle)》之銘言： : : 我打到了C:\windows> 後 再輸入dowmloaded program files 和試programs files : : 確都進不去 所以我就輸入 C:\windows>dir --->這樣對嗎?? 但是沒有找到任何 : : 步驟6的檔案 : 應該這樣做.... : 按開始->執行，接著打cmd，然後照下面做(指令打完都是按Enter) : C:\Document and Setting\xxx>cd\ : C:\> cd windows <-win2000可能是winnt資料夾，反正就是windows所在的資料夾@@ : C:\windows>cd "downloaded program files" <-可以打 cd down 然後按tap就會跑出來 : C:\windows\down....>dir : 這時可能會看到CNSxxx.dll等等的檔案，照著步驟6的方式刪掉 : 不過我記得應該要再進入步驟2前就先用rename的方式法CNSmin.dll改名(之前我說的) : 再去用regedit.exe刪機碼才對，到步驟6再回去刪掉哪些檔案 : : 我也照著你那一篇文章一個一個刪 但是刪完再開 都還是在 : : 有個檔案叫Help.dll的怎麼刪都刪不掉 : 如果刪不掉的話，同樣先試著在準備刪機碼之前，先把這個檔名改名 : 等刪完機碼後，再回頭把他刪掉 : : 以下是我的IE出現的問題 : : http://tw.f1.pg.photos.yahoo.com/ph/bizarre1128/details?.dir=/9549&.dnm=bb4a.jpg : : http://tw.f1.pg.photos.yahoo.com/ph/bizarre1128/detail?.dir=/9549&.dnm=3509.jpg&.src=ph : : 我用ad-aware6.0掃過了 就是3721的檔案很多 : : 那請問這會影響電腦裡面的作業系統嗎?? : : 除了有以上的現象......會破壞我的電腦裡面的軟體嗎??? : : 謝謝.. : 好像很多人有問題....改天有時間再來重灌3721測試一下好了:p 話說那東西我就是灌過了才po這篇文章............... 那天我就去找3721的入口網站 然後它說要安裝 就給它裝.. 接著我去確認機碼跟檔案位置後 就按卸載.... 重開之後 就沒了@@ 現在的移除能力算是不錯了 可以去3721網站下載最新的3721XDXDXD 他也附了自動更新0.0 真神奇呀XD > -------------------------------------------------------------------------- < 作者: TureCooler (這次也要歐趴呀XD) 看板: AntiVirus 標題: Re: 我也來求助~網路實名:( 時間: Sun Jul 18 15:14:11 2004 昨天只有要你把這個東西用hijackthis刪掉而已= =.. : O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe : C:\PROGRA~1\3721\helper.dll,Rundll32 請使用hijackthis 把綠色部份的東西都打勾 並按下Fix checked 問你是否要刪除 按yes > -------------------------------------------------------------------------- < 作者: Berotec (網路線實在是插不緊) 看板: AntiVirus 標題: Re: 我用Ad-ware刪不掉的毒...附上log檔 時間: Fri Nov 5 10:52:25 2004 這樣看來,應該是網路實名搞的鬼 看到CnsMin這個字,實在就讓人頭大, 看來對岸的東西還真是無孔不入 (不過,這好像是點選3721認證才會下載的吧....) 在下提供個網址,您去瞧瞧,裡面有附自動移除程式以及免疫程式 http://www.gamez.com.tw/showthread.php?t=73467 == 至於那些MRU就別在意,那些大多只是些記錄性質的檔案 > -------------------------------------------------------------------------- < 作者: redmei (翹了一整天課>"<) 看板: AntiVirus 標題: Re: [問題] 中3721病毒要怎麼清乾淨啊~~~ 時間: Wed Dec 22 02:55:19 2004 ※ 引述《micd (風信子)》之銘言： : 今天掃毒發現4隻病毒在3721這個資料夾. : 刪除那4個dll檔後.. : 每次開機卻出現如下的警告語: : 載入C:\PROGRA~1\3721\helper.dll時發生錯誤,找不到指定的模組 : 請問該怎麼解決~ : 拜託....謝謝~~ 呵呵 這個真的不錯用優^^~ http://dl.pconline.com.cn/html/1/3/dlid=13133&dltypeid=1&pn=0&.html 3721卸除程式 不過要在安全模式下才可以運作 用卸除程式還不能完全殺掉病毒 不過已經算清的滿乾淨的了 多清幾次就是了 剩下的那些 拿筆把他們的位置抄下來(3721卸除程式會顯示...) 之後再到起開始功能表裡的執行登入regedit 之後到指定位置把病毒一隻隻殺掉就可以了....^^ 還滿簡單的^^* -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.130.201.95