对付3721的办法。———文章来源: BMW325I hamburg 文学城

hamburg2004-07-06 19:11:48

1，首先卸载3721的网络失明，
2，安全模式下，REGEDIT。然后找所有3721和CNSMIN的关键字，然后全部删除。
3，下载3721完整卸载程序。建议以安全模式运行， http://dl.pconline.com.cn/html/1/3/dlid=13133&dltypeid=1&pn=0&.html
如果这个软件有些REGISTRY里的东西始终删不干净，自己找出来，SAFE MODE手工删除。这时候你需要以下做参考，如果还不行，就没办法了。

1、在设备驱动层加了保护，而且是boot时立即启动，即使在安全模式时也会启动。这个设备的名字叫做cnsminkp，驱动程序位于windows\system32\drivers\cnsminkp.sys。

2、cnsminkp.sys 一旦加载，无法用命令方式卸载这个驱动程序，即 net stop cnsminkp 也是无法停止这个驱动的。cnsminkp.sys 的文件日期是2004-02-15，是前几天才release出来的。

3、这个驱动不停地检测cnsminkp.sys 是否存在，cnsmin.dll是否存在，如果不存在，立即会重建这两个文件，并且不停检测service 和software 下面的注册表，确保cnsminkp这个服务的参数保持和它设置的一致，如果被改动，立即会恢复成原来的样子。另外，还确保在注册表run子键下始终存在cnsmin.dll，以达到开机立即运行的目的。

4、这种死皮赖脸的方式，是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll，使系统性能迅速下降。

本人对3721这种无赖的行径深恶痛绝，对如何从自己的电脑里赶走这个病毒做了一些尝试，希望给大家一些参考。

本人的系统为Win2000Pro版，系统分区为NTFS
1。用DOS软盘启动，使用NTFSforDOS专业版（注意，试用版只能读文件，不能删文件）对NTFS分区进行操作。为什么要在不进入Win2000的情况下对系统进行操作，实在是迫不得已，因为无论以何种方式（Normal，SafeMode，CommandPromot）启动Win2000，cnsminkp.sys都会被加载，其进程在任务管理器看不见，也关不掉，也就无法清除该文件。
2。删除目录
“C:\Program Files\3721”
“C:\WINNT\Downloaded Program Files\3721”（这个目录在Win2000下看，其内容与现在看到有很大区别，“3721”这个目录在Win2000下根本看不见）
如果“C:\WINNT\Downloaded Program Files\”目录下还有其他可疑的目录，如Baidu，一并删了吧！

3。删除文件
“C:\WINNT\system32\drivers\cnsminkp.sys”

4。重新启动到Win2000_SafeMode,对注册表进行处理，对照下面键值，都删了：
HKEY_CLASSES_ROOT\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_CLASSES_ROOT\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOT\clsid\{6d8f256b-6ab8-4398-8f86-1e56207db77a}
HKEY_CLASSES_ROOT\clsid\{b83fc273-3522-4cc6-92ec-75cc86678da4}
HKEY_CLASSES_ROOT\clsid\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOT\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOT\clsid\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOT\cnshelper.ch
HKEY_CLASSES_ROOT\cnshelper.ch.1
HKEY_CLASSES_ROOT\cnsminhk.cnshook
HKEY_CLASSES_ROOT\cnsminhk.cnshook.1
HKEY_CLASSES_ROOT\interface\{df692509-d9ef-48a0-9cd0-3aa5b81f6f68}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOT\typelib\{a5adeae7-a8b4-4f94-9128-bf8d8db5e927}
HKEY_CURRENT_USER\software\3721
HKEY_LOCAL_MACHINE\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\clsid\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_LOCAL_MACHINE\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\clsid\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_LOCAL_MACHINE\software\3721
HKEY_LOCAL_MACHINE\software\classes\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\classes\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\software\classes\clsid\{b835c273-3522-4cc6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINE\software\classes\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\software\classes\typelib\{aab6bce3-1df6-4930-9b14-9ca79dc8c267}
HKEY_LOCAL_MACHINE\software\interchina
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\advancedoptions\!cns
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\advancedoptions\!cns
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{5d73ee86-05f1-49ed-b850-e423120ec338}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{ecf2e268-f28c-48d2-9ab7-8f69c11ccb71}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{fd00d911-7529-4084-9946-a29f1bdf4fe5}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks\{b83fc273-3522-4cc6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cns02.dat
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cnshook.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cnsmin.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cesmain.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\helper.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\3721c:\progra~1\3721\autolive.dll253343
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cns02.dat
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cnshook.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cnsmin.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{1b0e7716-898e-48cc-9690-4e338e8de1d3}

5。删除以下文件：
systemroot+\system32\assist.dll
systemroot+\system32\bdhelper.dll
systemroot+\system32\cesweb.dll
systemroot+\system32\cnshook.dll
systemroot+\system\assist.dll
systemroot+\system\bdhelper.dll
systemroot+\system\cesweb.dll
systemroot+\system\cnshook.dll
systemroot+\system\regkper.dll

6。删除以下目录：
c:\documents and settings\all users.windows\start menu\programs\chinese keywor
c:\progra~1\3721\assist
programfilesdir+\3721
systemroot+\downloaded program files\3721

以上步骤之后，应该已清除3721了，XP类似。

下一步如何免疫，这个方法不错，将“http://*.3721.com”、“http://*.baidu.com”加入IE的受限站点。

对于如何确保IE的安全，本人建议IE的普通网站安全级别设置为“高”，认为可靠的网站如“CSDN”可以加入受信任站点，其安全级别可以设置低一些。

不要再碰37212004-07-07 03:13:14

我有更好更简单的办法:就是重装机器.不要再碰3721

海边2004-07-07 15:51:26

没这么麻烦，run完卸载软件，我的机器只剩下一个注册表需要改

让它死掉呢?2004-07-08 13:14:23

大家都通恨3721为什么不想一个法律可以起诉的理由

4-42004-07-09 23:23:28

Don't understand - Why does

无饼呻吟2004-07-14 02:05:18

最好的办法是照3721设计一个病毒

tty2004-08-23 10:22:57

回复：没这么麻烦，run完卸载软件，我的机器只剩下一个注册表需要改

tty2004-08-23 10:23:04

回复：回复：没这么麻烦，run完卸载软件，我的机器只剩下一个注册表

tty2004-08-23 10:23:12

回复：回复：回复：没这么麻烦，run完卸载软件，我的机器只剩下一个

继续阅读

求 origin 7.0 注册码。谢lbq66 2004-07-06 19:09:23 盗版的windowsxp可以安装漏洞补丁吗比如防振荡波达人救我 2004-07-06 18:54:08 关于IBM笔记本想买电脑的人 2004-07-06 17:12:39 一开ie就有广告出来,怎么样消掉,用了gooltools和adaware没用? 2004-07-06 14:50:42 不小心删了文件还能恢复吗？OLDLI 2004-07-06 14:25:59 关于Mozillaleifeng 2004-07-06 14:23:05 请高手指点WinXP开机问题 2004-07-06 09:25:20 请问高手：我的注册表被3721软件修改了，使我的IE没法显示江湖海 2004-07-06 07:05:41 要防火墙的快下，一会就删除深海鱼游 2004-07-06 06:20:38 我的电脑有病毒了,请高手给几个杀毒软件的介绍.在线等春卷 2004-07-06 05:56:40

同作者

“强烈”要求，将那个棒棒糖取下，由踢踢歪来代替。呵呵。hamburg 2006-09-14 21:11:36 tty你还在用PIII煮鸡蛋？村里的人怎么样了？你还是起那么早么？hamburg 2006-08-09 21:41:24 如果各位看过tty和老鼓手关于AMD何intel的讨论，就知道hamburg 2006-08-07 02:07:36 大家春节好，这是俺的祝福：hamburg 2006-01-28 05:33:24 太平洋嫩头青这家伙哪里去了？还有在密吃根的宝马还来这里么？hamburg 2005-11-25 20:12:51 太平洋,嫩头青二位斑竹:hamburg 2005-02-07 04:27:18 今天是小年,希望于电脑版的兄弟们共享hamburg 2005-02-01 17:20:57 嫩头青：hamburg 2005-01-13 19:01:45 嫩头青老大在欧坛的发言稿：hamburg 2005-01-13 16:22:59 祝大家在新年里,在太平洋下捞面加嫩头青菜!!hamburg 2004-12-31 20:07:09

对付3721的办法。———文章来源: BMW325I hamburg2004-07-06 19:11:48