3721不是病毒是什么?哪有只能装不能卸的软件,简直无耻之极,那些防病毒软件为什么不杀这种病毒。俺的同学给我一封邮件,告诉我如何杀,与大家一起分享。
3721实在太恶心了。我的机器不小心中招,居然怎么也删不掉。3721的驻留机制在[1]
中进行了分析,由此可见,3271的防删除手段是非常高超的。删注册表中相关3721的
表项,删%WINNT%\Downloaded Program Files中含CnsMin的文件(特别是那个CnsMin.dll)
都没有作用(它会自恢复)。我在删除几次后,浏览器浏览%WINNT%\Downloaded Program
Files已经看不到任何3721的文件,而在DOS下看,却是一大堆!网上很多关于删除3721的
办法,不过很多都过时了,一个较完善的删除办法参见[2]. 不过最关键的问题还是无法
切断系统装载CnsMin.dll的途径: 直接去目录下rename CnsMin.dll,没有用; 启动到安
全模式,CnsMin.dll已经驻留,从而无法进一步清除;启动到安全模式的命令行模式,又
看不见%WINNT%\Downloaded Program Files目录。看来只有通过Windows光盘,在Recovery
Control下才能不在3721的控制下访问硬盘,去掉3721的相关文件了。以下是我在[2]的
基础上总结的步骤:
(1) 拔掉网线,这样中断3721从网络下载文件的途径。
(2) 准备一张Win2k的可启动安装光盘 (对于WinXP系统,WinXP盘最好,不过Win2K光盘也
可以用,并且不要超级用户密码就可以进入Recovery Console, 这个是M$的超级大
Bug).
(3) 光盘插入,重起机器,从光盘启动,进入安装Win2K的界面。等需要的驱动都装载好
之后,系统问是要安装新系统,还是Repair, 按"R"键Repair, 然后系统问是要进入
Recovery Console还是进行应急盘修复,按"C"键进入Recovery Console.然后,系统
列出存在的Windows系统,让你选择,此时按"1"键,然后"回车"键(千万不要直接按
"回车",否则系统认为不需要维护,重起了)。然后按提示输入administrator的密码,
成功进入Recovery Console.
(4) 进入后,问题就简单了。注意,此时del命令只能删单个文件,rmdir也只能删空目录。
进入%WINNT%\Downloaded Program Files,删掉3721子目录,一个个删调cnsio.dll
以及其它所有以CnsMin开头的文件。再进入%WINNT%\system32\drivers,删掉那个
CnsMinKP.sys文件。注意,此时,系统只允许你在%WINNT%中操作,访问其它上层目
录均显示"access denied"。不过这已足够。删完后,移掉光盘,重起机器。
(5) 系统再度起来时,3721不能装载需要的文件,就乖乖任你蹂躏了(嘿嘿,真是有报仇
的快感). 删除这些东西:
(a) 任务管理窗口里面,终止所有Rundll32的进程(主要其中有个3721的)
(b) 删除目录C:\Program Files\3721
(c) 打开注册表,删除HKLM\Software\Microsoft\Windows\CurrentVersion\Run下含
3721文件的Rundll32调用
(d) 在整个注册表里搜索含关键字3721的key,删之
(e) 在整个注册表里搜索含关键字CnsMin的key,删之(可能有几个删不掉,没关系)
(f) 在HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\下删除整个
!CNS
(g) 在HKCU\Software\Microsoft\Internet Explorer\Main\下,删除诸如CNSEnable,
CNSList此类以CNS打头的Value.
(6) 3721已经全部删除。现在打开IE浏览器,工具菜单-->Internet选项-->安全-->受限制
的站点-->点击"站点"按钮,然后把“3721.com”加入,这样以后拒绝访问 3721 的一
切网页,以免再被装上他们的网络shit.
(7) 重起机器,插网线。结束。
罗里八嗦写了这些,发泄对3721不满的同时,也希望大家也能成功地抵制3721。