1,首先卸载3721的网络失明,
2,安全模式下,REGEDIT。然后找 所有3721和CNSMIN的关键字,然后全部删除。
3,下载3721完整卸载程序。建议以安全模式运行, http://dl.pconline.com.cn/html/1/3/dlid=13133&dltypeid=1 &pn=0&.html
如果这个软件有些REGISTRY里的东西始终删不干净,自己找出来,SAFE MODE手工删除。这时候你需要以下做参考,如果还不行,就没办法了。
1、在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备的名字叫做cnsminkp,驱动程 序位于windows\system32\drivers\cnsminkp.sys。
2、cnsminkp.sys 一旦加载,无法用命令方式卸载这个驱动程序,即 net stop cnsminkp 也是无法停止这个驱动的。cnsminkp.sys 的文件日期是2004-02-15,是前几天才release出来的。
3、这个驱动不停地检测cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即会重建这两个文件,并且不停检测service 和software 下面的注册表,确保cnsminkp这个服务的参数保持和它设置的一致,如果被改动,立即会恢复成原来的样子。另外,还确保在注 册表run子键下始终存在cnsmin.dll,以达到开机立即运行的目的。
4、这种死皮赖脸的方式,是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。
本人对3721这种无赖的行径深恶痛绝,对如何从自己的电脑里赶走这个病毒做了一些尝试,希望给大家一些参考。
本人的系统为Win2000Pro版,系统分区为NTFS
1。用DOS软盘启动,使用NTFSforDOS专业版(注意,试用版只能读文件,不能删文件)对NTFS分区进行操作。为什么 要在不进入Win2000的情况下对系统进行操作,实在是迫不得已,因为无论以何种方式(Normal,SafeMode,Co mmandPromot)启动Win2000,cnsminkp.sys都会被加载,其进程在任务管理器看不见,也关不掉,也就 无法清除该文件。
2。删除目录
“C:\Program Files\3721”
“C:\WINNT\Downloaded Program Files\3721”(这个目录在Win2000下看,其内容与现在看到有很大区别,“3721”这个目录在Win2000下 根本看不见)
如果“C:\WINNT\Downloaded Program Files\”目录下还有其他可疑的目录,如Baidu,一并删了吧!
3。删除文件
“C:\WINNT\system32\drivers\cnsminkp.sys”
4。重新启动到Win2000_SafeMode,对注册表进行处理,对照下面键值,都删了:
HKEY_CLASSES_ROOT\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d 3}
HKEY_CLASSES_ROOT\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348e f}
HKEY_CLASSES_ROOT\clsid\{6d8f256b-6ab8-4398-8f86-1e56207db77 a}
HKEY_CLASSES_ROOT\clsid\{b83fc273-3522-4cc6-92ec-75cc86678da 4}
HKEY_CLASSES_ROOT\clsid\{ca92b524-bc8a-4610-bd2c-6bd3e28155d 0}
HKEY_CLASSES_ROOT\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add 4}
HKEY_CLASSES_ROOT\clsid\{e5e4e352-6947-44ee-a420-db84efd3fe9 3}
HKEY_CLASSES_ROOT\cnshelper.ch
HKEY_CLASSES_ROOT\cnshelper.ch.1
HKEY_CLASSES_ROOT\cnsminhk.cnshook
HKEY_CLASSES_ROOT\cnsminhk.cnshook.1
HKEY_CLASSES_ROOT\interface\{df692509-d9ef-48a0-9cd0-3aa5b81 f6f68}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\ explorer\browser helper objects\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\ explorer\browser helper objects\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\ explorer\browser helper objects\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\ explorer\browser helper objects\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOT\typelib\{a5adeae7-a8b4-4f94-9128-bf8d8db5e 927}
HKEY_CURRENT_USER\software\3721
HKEY_LOCAL_MACHINE\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1 d3}
HKEY_LOCAL_MACHINE\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348 ef}
HKEY_LOCAL_MACHINE\clsid\{ca92b524-bc8a-4610-bd2c-6bd3e28155 d0}
HKEY_LOCAL_MACHINE\clsid\{d157330a-9ef3-49f8-9a67-4141ac41ad d4}
HKEY_LOCAL_MACHINE\clsid\{e5e4e352-6947-44ee-a420-db84efd3fe 93}
HKEY_LOCAL_MACHINE\software\3721
HKEY_LOCAL_MACHINE\software\classes\clsid\{1b0e7716-898e-48c c-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\classes\clsid\{6231d512-e4a4-4df 2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\software\classes\clsid\{b835c273-3522-4cc 6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINE\software\classes\clsid\{d157330a-9ef3-49f 8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\software\classes\typelib\{aab6bce3-1df6-4 930-9b14-9ca79dc8c267}
HKEY_LOCAL_MACHINE\software\interchina
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\advancedoptions\!cns
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\advancedoptions\!cns
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{5d73ee86-05f1-49ed-b850-e423120ec338}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{ecf2e268-f28c-48d2-9ab7-8f69c11ccb71}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{fd00d911-7529-4084-9946-a29f1bdf4fe5}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \app management\arpcache\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \app management\arpcache\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \explorer\browser helper objects\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \explorer\browser helper objects\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \explorer\browser helper objects\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \explorer\shellexecutehooks\{b83fc273-3522-4cc6-92ec-75cc866 78da4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \moduleusage\c:/windows/downloaded program files/cns02.dat
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \moduleusage\c:/windows/downloaded program files/cnshook.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \moduleusage\c:/windows/downloaded program files/cnsmin.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run\cesmain.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \run\helper.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \runonce\3721c:\progra~1\3721\autolive.dll253343
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \shareddlls\c:\windows\downloaded program files\cns02.dat
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \shareddlls\c:\windows\downloaded program files\cnshook.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \shareddlls\c:\windows\downloaded program files\cnsmin.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \uninstall\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion \uninstall\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
5。删除以下文件:
systemroot+\system32\assist.dll
systemroot+\system32\bdhelper.dll
systemroot+\system32\cesweb.dll
systemroot+\system32\cnshook.dll
systemroot+\system\assist.dll
systemroot+\system\bdhelper.dll
systemroot+\system\cesweb.dll
systemroot+\system\cnshook.dll
systemroot+\system\regkper.dll
6。删除以下目录:
c:\documents and settings\all users.windows\start menu\programs\chinese keywor
c:\progra~1\3721\assist
programfilesdir+\3721
systemroot+\downloaded program files\3721
以上步骤之后,应该已清除3721了,XP类似。
下一步如何免疫,这个方法不错,将“http://*.3721.com”、“http://*.baidu.com”加入IE 的受限站点。
对于如何确保IE的安全,本人建议IE的普通网站安全级别设置为“高”,认为可靠的网站如“CSDN”可以加入受信任站点,其安 全级别可以设置低一些。